本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EBS 快照 您可製作特定時間點的副本 (稱為 *Amazon EBS 快照*),藉此備份 Amazon EBS 磁碟區上的資料。快照是一種**增量備份**,這表示我們只會儲存磁碟區上自上次快照以來變更的區塊。如此無須複製所有資料,可大幅減少建立快照所需的時間,並節省儲存成本。 **重要** AWS 不會自動備份存放在 EBS 磁碟區上的資料。在資料彈性和災難復原方案,您有責任定期建立 Amazon EBS 快照,或是使用 [使用 Amazon Data Lifecycle Manager 自動化備份](snapshot-lifecycle.md) 或 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 設定自動快照建立作業。 快照存放在 Amazon S3 中,位於您無法直接存取的 S3 儲存貯體中。您可以使用 Amazon EC2 主控台或 Amazon EC2 API 建立和管理快照。您無法使用 Amazon S3 主控台或 Amazon S3 API 存取快照。 快照資料會自動複寫到區域中所有可用區域。這可為快照資料提供高可用性和耐用性,並可讓您在該區域的任何可用區域中還原磁碟區。 每一快照均包含將 (快照取得時的) 資料還原至新的 EBS 磁碟區所需的所有資訊。當您從快照建立 EBS 磁碟區時,新磁碟區會開始做為用於建立快照之磁碟區的確切複本。 如需詳細資訊,請參閱 [Amazon EBS 快照](https://aws.amazon.com/ebs/snapshots/)產品頁面。 **快照事件** 您可透過 CloudWatch Events 追蹤 EBS 快照的狀態。如需詳細資訊,請參閱[EBS 快照事件](ebs-cloud-watch-events.md#snapshot-events)。 **快照定價** 快照的費用視儲存的資料量而定。由於快照會逐步增量,因此刪除快照可能不會降低您的資料儲存成本。移除快照時,僅會移除由快照所參考的資料,但會保留其他快照所參考的資料。如需詳細資訊,請參閱 *AWS Billing 使用者指南*中的 [Amazon Elastic Block Store 磁碟區及快照](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/checklistforunwantedcharges.html#checkebsvolumes)。 **Topics** + [Amazon EBS 快照的運作方式](how_snapshots_work.md) + [Amazon EBS 快照生命週期](ebs-snapshot-lifecycle.md) + [Amazon EBS 快速快照還原](ebs-fast-snapshot-restore.md) + [Amazon EBS 快照鎖定](ebs-snapshot-lock.md) + [封鎖 Amazon EBS 快照的公開存取](block-public-access-snapshots.md) + [Amazon EBS local snapshots on Outposts](snapshots-outposts.md) + [Local Zones 中的本機快照](snapshots-localzones.md) # Amazon EBS 快照的運作方式 從磁碟區建立的第一個快照永遠是*完整快照*。其包含建立快照時寫入至磁碟區的所有資料區塊。相同磁碟區的後續快照為*增量快照*。其僅包含自上次建立快照以來寫入磁碟區之已變更的和新的資料區塊 完整快照的大小取決於備份的資料大小,而非來源磁碟區的大小。同樣,與完整快照相關的儲存成本取決於快照的大小,而非來源磁碟區的大小。例如,建立 `200 GiB` Amazon EBS 磁碟區的第一個快照,其僅包含 `50 GiB` 資料。這會導致完整快照的大小為 `50 GiB`,而且您需要支付 `50 GiB` 快照儲存的費用。 同樣,增量快照的大小和儲存成本取決於自上一個快照建立以來寫入磁碟區的任何資料大小。繼續先前的範例,如果您在變更`20 GiB`資料和新增`10 GiB`資料後建立相同`200 GiB`磁碟區的第二個快照,則增量快照的大小為 `30 GiB` 。然後,您需要支付額外的 `30 GiB` 快照儲存費用。 如需有關快照定價的詳細資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。 **重要** 當您封存增量快照時,其會轉換為完整快照,其中包含建立快照時寫入至磁碟區的所有區塊。然後,其會移至 Amazon EBS 快照封存層。封存層中的快照會以不同於標準層中之快照的費率計費。如需詳細資訊,請參閱[封存 Amazon EBS 快照的定價和帳單](snapshot-archive-pricing.md)。 以下章節說明 EBS 快照如何擷取磁碟區在某個時間點的狀態,以及變動中磁碟區的後續快照如何建立這些變更的歷史記錄。 **相同磁碟區的多個快照** 本章節中的圖表顯示三個時間點的磁碟區 1,其大小為 `15 GiB`。這三個磁碟區狀態各取得一張快照。圖表特別說明以下內容: + 在**狀態 1** 中,磁碟區具有 `10 GiB` 的資料。**快照 A** 是此磁碟區的第一個快照。**快照 A** 是完整快照,而且會備份全部 `10 GiB` 資料。 + 在**狀態 2** 中,磁碟區仍包含 `10 GiB` 資料,但在取得**快照 A** 之後僅變更了 `4 GiB`。**快照 B** 是增量快照。其只需要備份已變更的 `4 GiB`。其他未變更的 `6 GiB` 資料 (已在**快照 A** 中備份) 會供**快照 B** *參考*,而非再次備份。如下圖虛線箭頭所示。 + 在**狀態 3** 中,取得**快照 B** 之後,`2 GiB` 資料已新增至磁碟區,共計 `12 GiB`。**快照 C** 是增量快照。它只需要備份在取得**快照 B** 之後新增的 `2 GiB`。如下圖虛線箭頭所示,**快照 C** 亦會參考存放於**快照 B** 的 `4 GiB` 資料及存放於**快照 A** 的 `6 GiB` 資料。 + 三個快照共需 `16 GiB` 的儲存空間。這意味著快照 A 為 10 GiB,快照 B 為 4 GiB 和快照 C 為 2 GiB。 ![\[初始磁碟區狀態取得一張快照,後續兩次資料變更後各取得一張快照。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot_1a.png) **不同磁碟區的增量快照** 本節中的圖表顯示如何從不同磁碟區取得增量快照。 1. **磁碟區 1** 的大小為 `14 GiB`,擁有 `10 GiB` 資料。由於**快照 A** 是為磁碟區取得的第一個快照,因此它是完整快照並且會備份全部 `10 GiB` 資料。 1. **Vol 2** (磁碟區 2) 是從 **Snap A** (快照 A) 中建立的,所以它是取得該快照時 **Vol 1** (磁碟區 1) 的確切複本。 1. 隨著時間的推移,`4 GiB` 的資料新增至**磁碟區 2**,其資料總大小變為 `14 GiB`。 1. **Snap B** (快照 B) 取自 **Vol 2** (磁碟區 2)。對於**快照 B**,僅備份從**快照 A** 中建立磁碟區之後新增的 `4 GiB` 資料。其他未變更的 `10 GiB` 資料已由**快照 A** 存放,因此會供**快照 B** 參考,而非再次備份。 **Snap B** (快照 B) 是 **Snap A** (快照 A) 的增量快照,即使它是從不同的磁碟區建立的。 **重要** 該圖表假設您擁有**磁碟區 1** 和**快照 A**,並且**磁碟區 2** 使用與磁碟區 1 相同的 KMS 密鑰進行加密。如果 **Vol 1** 是另一個 AWS 帳戶所擁有,且該帳戶已取得 **Snap A** 並與您共用,則 **Snap B** 會是完整的快照。或者,如果**磁碟區 2** 使用與**磁碟區 1** 不同的 KMS 金鑰進行加密,則**快照 B** 將是完整快照。 ![\[初始磁碟區狀態取得一張快照,後續兩次資料變更後各取得一張快照。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot_1c.png) 如需刪除快照時如何管理資料的詳細資訊,請參閱[刪除一個 Amazon EBS 快照。](ebs-deleting-snapshot.md)。 # Amazon EBS 快照生命週期 Amazon EBS 快照的生命週期從建立程序開始。您可以從 Amazon EBS 磁碟區建立快照。您可以使用快照來還原新的 Amazon EBS 磁碟區。您可以在相同區域或不同區域中建立快照的副本。您可以 AWS 帳戶公開或私下與其他 共用快照。這些帳戶可以從共用快照還原磁碟區,也可以在自己的帳戶中建立共用快照的副本。如果您不需要立即存取快照,您可以將其封存以節省儲存成本。 下圖顯示您可以在快照生命週期中對快照執行的動作。 ![\[快照生命週期\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot-lifecycle.png) **Topics** + [建立快照](ebs-creating-snapshot.md) + [檢視快照資訊](ebs-describing-snapshots.md) + [複製快照](ebs-copy-snapshot.md) + [共享快照](ebs-modifying-snapshot-permissions.md) + [封存快照](snapshot-archive.md) + [刪除快照](ebs-deleting-snapshot.md) # 建立 Amazon EBS 快照 您可以建立 Amazon EBS 磁碟區的 Amazon EBS 快照,以建立該磁碟區的point-in-time備份。您可以建立**個別 Amazon EBS 磁碟區的**快照,也可以建立連接至 Amazon EC2 執行個體之所有磁碟區的**多磁碟區快照**或子集。 快照建立是非同步的。快照會立即建立,但會保持在 `pending` 狀態,直到所有資料都傳輸到 Amazon S3 為止。這可能需要幾個小時才能完成,取決於磁碟區上修改的區塊數量。您可以在此期間繼續使用磁碟區,而不會影響快照。快照僅包含請求快照時寫入磁碟區的資料。它不包括應用程式或作業系統快取的資料。 **提示** 為了確保一致的完整快照,建議您先暫停寫入磁碟區,再建立快照。如果您無法暫停寫入磁碟區,我們建議您在建立快照之前,先從執行個體內卸載磁碟區。一旦快照進入 `pending` 狀態,您就可以重新掛載和繼續寫入。 如果您建立做為 Amazon EC2 執行個體根裝置的磁碟區的快照,建議您先停止執行個體,再擷取快照。 **Topics** + [快照加密](#create-snapshot-encryption) + [快照目的地](#create-snapshot-destinations) + [自動化快照](#create-snapshots-automate) + [建立快照的考量事項](#create-snapshots-considerations) + [建立磁碟區的快照](ebs-create-snapshot.md) + [建立多磁碟區快照](ebs-create-snapshots.md) ## 快照加密 快照會自動取得與其建立來源磁碟區的相同加密狀態。從未加密磁碟區建立的快照不會加密。從加密磁碟區建立的快照會使用與磁碟區相同的 KMS 金鑰自動加密。 **提示** 如果您需要從未加密的磁碟區建立加密快照,請先建立磁碟區的未加密快照,然後建立該快照的加密複本。 ## 快照目的地 來源資源 (磁碟區或執行個體) 的位置會決定您可以在何處建立快照。 + 如果來源資源位於 區域,您必須在與來源資源相同的區域中建立快照。 + 如果來源資源位於本機區域,您可以在相同的本機區域或其父區域中建立快照。如需詳細資訊,請參閱[Local Zones 中的本機快照](snapshots-localzones.md)。 + 如果來源資源位於 上Outpost,您可以在相同Outpost或其父區域中建立快照。如需詳細資訊,請參閱[Amazon EBS local snapshots on Outposts](snapshots-outposts.md)。 ## 自動化快照 您可以使用 [Amazon Data Lifecycle Manager](snapshot-lifecycle.md) 和 自動建立快照[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/multi-volume-crash-consistent.html)。 ## 建立快照的考量事項 + 建議您不要建立連接到休眠或啟用休眠之 Amazon EC2 執行個體的磁碟區快照。如需詳細資訊,請參閱 [Amazon EC2 執行個體休眠的運作方式](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-hibernate-overview.html#instance-hibernate-limitations)。 + 雖然您可以在磁碟區的先前快照處於 `pending` 狀態時拍攝磁碟區的快照,但相同磁碟區的多個快照處於 `pending` 狀態時,可能會導致磁碟區效能降低,直到快照完成為止。 + 您可以在 `pending` 狀態擁有的快照數量有限制,以及您可以為每個磁碟區類型請求的並行快照數量也有限制。如需詳細資訊,請參閱 [Amazon EBS 的配額](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-resource-quotas.html)。如果您超過其中一個配額,請等待目前的快照完成,然後再試一次。 # 建立 EBS 磁碟區的快照 您可以建立單一磁碟區的單一快照。或者,若要自動建立快照,請使用 [Amazon Data Lifecycle Manager](snapshot-lifecycle.md) 或 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/multi-volume-crash-consistent.html)。若要為 EC2 執行個體建立所有磁碟區的快照,請使用[多磁碟區快照](ebs-create-snapshots.md)。 ------ #### [ Console ] **建立快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots** (快照)、**Create snapshot** (建立快照)。 1. 針對 **Resource type (資源類型)**,選擇 **Volume (磁碟區)**。 1. 針對 **Volume ID** (磁碟區 ID),選取要從中建立快照的磁碟區。**加密**欄位指出磁碟區和產生的快照的加密狀態。無法修改。 1. (*選用*) 針對**描述**,輸入快照的簡短描述。 1. 如果磁碟區位於 Outpost或本機區域中,**則快照目的地**欄位會顯示。執行以下任意一項: + 如果磁碟區位於 Local Zone,請選擇 **Local Zone** 在相同的 Local Zone 中建立快照,或選擇 **AWS Region** 在 Local Zone 的父區域中建立快照。 + 如果磁碟區位於 Outpost上,請選擇 **AWS Outpost**,在相同的 上建立快照Outpost,或選擇 **AWS 區域**,在 的父區域中建立快照Outpost。 **注意** 如果磁碟區位於 區域,**則快照目的地**不會顯示。快照會在與磁碟區相同的區域中自動建立。 1. (*選用*) 若要將自訂標籤指派給快照,請在**標籤**區段中,選擇**新增標籤**,然後輸入鍵/值對。您最多可以新增 50 個標籤。 1. 選擇**建立快照**。 ------ #### [ AWS CLI ] **建立快照** 使用 [create-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html) 指令。 ``` aws ec2 create-snapshot \ --volume-id vol-01234567890abcdef \ --description "Snapshot of the root volume for i-1234567890abcdef0" ``` ------ #### [ PowerShell ] **建立快照** 使用 [New-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html) cmdlet。 ``` New-EC2Snapshot ` -VolumeId vol-01234567890abcdef ` -Description "Snapshot of the root volume for i-1234567890abcdef0" ``` ------ # 從 EC2 執行個體建立多磁碟區 EBS 快照 根據預設,當您從 Amazon EC2 執行個體建立多磁碟區快照時,Amazon EBS 會建立連接至執行個體之所有 Amazon EBS 磁碟區的快照。不過,您可以視需要選擇排除根磁碟區或特定資料磁碟區。 **提示** 我們建議您標記多磁碟區快照,以便輕鬆識別和管理它們。您也可以將標籤從來源磁碟區複製到對應的快照,以設定快照中繼資料,例如存取政策、附件資訊和成本分配,以符合來源磁碟區。 **多磁碟區快照的考量事項** + 如果所有快照都成功完成,則結果為 的 `createSnapshots` CloudWatch 事件`succeeded`會傳送至您的帳戶 AWS 。如果多磁碟區快照集中的任何一個快照失敗,所有其他快照`failed`都會進入 `error` 狀態,並將結果為 的 `createSnapshots` CloudWatch 事件傳送至您的帳戶。如需詳細資訊,請參閱[建立快照 (createSnapshots)](ebs-cloud-watch-events.md#create-snapshots-complete)。 + 多磁碟區快照支援最多 128 個連接至執行個體的 Amazon EBS 磁碟區,包括根磁碟區和最多 127 個資料磁碟區。 + 多磁碟區快照集中的每個快照都是個別快照,可以以與個別快照相同的方式使用,並且支援相同的功能。 + 您可以使用[AWS Systems Manager 命令文件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-vss-snapshots-ssm.html),取得連接至 Amazon EC2 Windows 執行個體之所有 Amazon EBS 磁碟區的應用程式一致性快照。 ------ #### [ Console ] **建立多磁碟區快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots** (快照)、**Create snapshot** (建立快照)。 1. 對於 **Resource type** (資源類型),選擇 **Instance** (執行個體)。 1. 對於 **Description** (描述),輸入快照的簡短描述。此描述會適用於所有快照。 1. 如果執行個體位於 Outpost或本機區域中,**則快照目的地**欄位會顯示。執行以下任意一項: + 如果執行個體位於 Local Zone,請選擇 **Local Zone** 在相同的 Local Zone 中建立快照,或選擇 **AWS Region** 在 Local Zone 的父區域中建立快照。 + 如果執行個體位於 Outpost上,請選擇 **AWS Outpost**,在相同的 上建立快照Outpost,或選擇 **AWS 區域**,在 的父區域中建立快照Outpost。 **注意** 如果執行個體位於 區域,**則快照目的地**不會顯示。快照會在與執行個體相同的區域中自動建立。 1. (*選用*) 若要排除執行個體的根磁碟區,請選取**排除根磁碟區**。 1. (*選用*) 若要排除資料磁碟區,請選取**排除特定資料磁碟區**。**Attached data volumes** (已連接的資料磁碟區) 區段會列出目前連接至所選執行個體的所有資料磁碟區。 選取要排除的資料磁碟區。多磁碟區快照集中只會包含保持未選取狀態的磁碟區。 1. (*選用*) 若要自動將標籤從來源磁碟區複製到對應的快照,對於**從來源磁碟區複製標籤**,請選取**複製標籤**。 1. (*選用*) 若要將其他自訂標籤指派給快照,請在**標籤**區段中,選擇**新增標籤**,然後輸入鍵/值對。您最多可以新增 50 個標籤。 1. 選擇**建立快照**。 ------ #### [ AWS CLI ] **建立多磁碟區快照** 使用 [create-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshots.html) 指令。 ``` aws ec2 create-snapshots \ --instance-specification InstanceId=i-1234567890abcdef0 \ --description "from a multi-volume snapshot of i-1234567890abcdef0" ``` 若要排除根磁碟區,請將下列項目新增至 `--instance-specification`選項。 ``` ExcludeBootVolume=true ``` 若要排除資料磁碟區,請將下列項目新增至 `--instance-specification`選項。 ``` ExcludeDataVolumeIds=vol-01234567890abcdef ``` ------ #### [ PowerShell ] **建立多磁碟區快照** 使用 [New-EC2SnapshotBatch](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SnapshotBatch.html) cmdlet。 ``` New-EC2SnapshotBatch ` -InstanceSpecification_InstanceId i-1234567890abcdef0 ` -Description "from a multi-volume snapshot of i-1234567890abcdef0" ``` 若要排除根磁碟區,請新增下列參數。 ``` -InstanceSpecification_ExcludeBootVolume $true ``` 若要排除資料磁碟區,請新增下列參數。 ``` -InstanceSpecification_ExcludeDataVolumes "vol-01234567890abcdef" ``` ------ # 檢視 Amazon EBS 快照資訊 您可檢視關於快照的詳細資訊。 ------ #### [ Console ] **檢視快照資訊** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 若要只檢視您擁有的快照,請在畫面左上角選擇 **Owned by me** (由我擁有)。您也可以使用標籤和其他快照屬性來篩選快照清單。在 **Filter** (篩選條件) 欄位中,選取屬性欄位,然後選取或輸入屬性值。例如,若要只檢視加密的快照,請選取 **Encryption** (加密),然後輸入 `true`。 1. 若要檢視特定快照的詳細資訊,請在清單中選擇其 ID。 **注意** **完整快照大小**欄位顯示快照的完整大小,以位元組為單位。**這不是**快照的增量大小。相反地,它代表在建立快照時寫入來源磁碟區的所有區塊的大小。 如果未指定其他大小,**磁碟區大小**欄位會顯示將從快照建立的 EBS 磁碟區大小。 ------ #### [ AWS CLI ] **檢視快照資訊** 使用 [describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令。 **Example 範例 1:根據標籤篩選** 下列範例說明具有 Stack=production 標籤的快照。 ``` aws ec2 describe-snapshots --filters Name=tag:Stack,Values=production ``` **Example 範例 2:根據磁碟區篩選** 下列範例說明從指定磁碟區建立的快照。 ``` aws ec2 describe-snapshots --filters Name=volume-id,Values=vol-049df61146c4d7901 ``` **Example 範例 3:根據快照存留期篩選** 您可以使用 JMESPath 來使用表達式篩選結果。例如,下列命令會顯示您帳戶在指定日期之前建立之所有快照IDs。如果您未指定擁有者,結果會包含所有公有快照。 ``` aws ec2 describe-snapshots \ --filters Name=owner-id,Values=123456789012 \ --query "Snapshots[?(StartTime<='2024-03-31')].[SnapshotId]" \ --output text ``` 下列命令會顯示指定日期範圍中所建立的所有快照的 ID。 ``` aws ec2 describe-snapshots \ --filters Name=owner-id,Values=123456789012 \ --query "Snapshots[?(StartTime>='2024-01-01') && (StartTime<='2024-12-31')].[SnapshotId]" \ --output text ``` ------ #### [ PowerShell ] **檢視快照資訊** 使用 [Get-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) cmdlet。 **範例 1:描述快照** 下列 範例會描述指定的快照。 ``` Get-EC2Snapshot -SnapshotId snap-0abcdef1234567890 ``` **範例 2:根據磁碟區篩選** 下列範例說明從指定磁碟區建立的快照。 ``` Get-EC2Snapshot` -Filter @{Name="volume-id"; Values="vol-01234567890abcdef"} ``` ------ ## 快照狀態 Amazon EBS 快照會從建立的那一刻起轉換到不同的狀態,直到永久刪除為止。 下圖顯示快照狀態之間的轉換。當您建立快照時,它會進入 `pending` 狀態。快照準備就緒後,就會進入 `completed` 狀態。當您決定不再需要快照時,可以將其刪除。如果您刪除符合資源回收筒保留規則的快照,它會保留在資源回收筒中並進入 `recoverable` 狀態。如果您從資源回收筒復原快照,它會進入 `recovering` 狀態,然後進入 `completed` 狀態。否則,它會永久刪除。 ![\[已配置區塊的快照\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot-statuses.png) 下表摘要說明快照狀態。 | 狀態 | Description | | --- | --- | | pending | 快照建立程序仍在進行中。快照處於 `pending` 狀態時無法使用。 | | completed | 快照建立程序已完成,且快照已準備好可供使用。 | | recoverable | 快照目前位於資源回收筒中。若要使用快照,您必須先從資源回收筒中復原快照。 | | recovering | 正在從資源回收筒復原快照。復原快照之後,它會轉換為 completed 狀態,並準備好可供使用。 | | error | 快照建立程序失敗。如果快照處於 error 狀態,則無法使用快照。 | # 複製 Amazon EBS 快照 建立快照並達到 `completed` 狀態後,您可以建立快照的副本。快照複本是原始的確切複本,但具有唯一的資源 ID。您可以複製您擁有的快照,以及私下或公開與您共用的快照。您可能需要針對下列使用案例複製快照: + 地理擴展 — 您需要在新的區域中啟動應用程式。 + 遷移 - 您需要將應用程式移至新的目的地,以實現更好的可用性或將成本降至最低。 + 災難復原 — 您需要將資料和日誌備份到次要區域,以用於資料備援目的。 + 加密 — 您需要加密先前未加密的快照,或使用不同的 KMS 金鑰重新加密加密的快照。 + 複製共用快照 — 您需要複製與您共用的快照。 + 資料保留和稽核要求 — 您需要將加密快照從一個帳戶複製到另一個 AWS 帳戶,以保留資料進行稽核或資料保留。如果您的主要帳戶遭到入侵,使用不同的 AWS 帳戶可保護您。 若要複製多磁碟區快照,請使用您在建立期間指派的標籤來識別屬於該集一部分的所有快照,然後個別複製這些快照。 如需有關複製 Amazon RDS 快照的資訊,請參閱 *Amazon RDS 使用者指南*中的[複製資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)。 **定價** 如需複製快照的定價資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。 **Topics** + [複製快照的考量事項](#snapshot-copy-consids) + [快照副本的目的地](#snapshot-copy-destinations) + [增量式快照複製](#ebs-incremental-copy) + [以時間為基礎的複本](time-based-copies.md) + [加密和快照複製](#creating-encrypted-snapshots) + [複製快照](#ebs-snapshot-copy) ## 複製快照的考量事項 + 您可以複製 AWS Marketplace、VM Import/Export 和 Storage Gateway 快照,但必須驗證目的地區域中是否支援快照。 + 每個目的地的`20`並行快照複製請求有限制。如果您超過此配額,您會收到 `ResourceLimitExceeded` 錯誤。如果收到此錯誤,請先等待一或多個複製請求完成,然後再發出新的快照複製請求。 + 使用者定義的標籤不會從來源快照複製到快照複本。在複製作業期間或之後,您都能新增使用者定義標籤。 + 快照複製操作建立的快照具有任意磁碟區 ID,例如 `vol-ffff` 或 `vol-ffffffff`。這些任意磁碟區 ID 不應用於任何用途。 + 為快照複製操作指定的資源層級許可可以套用至快照複本和來源快照。如需範例,請參閱[範例:複製快照](https://docs.aws.amazon.com/ebs/latest/userguide/security_iam_id-based-policy-examples.html#iam-copy-snapshot)。 + 如果您複製已啟用快速快照還原的快照,則不會自動啟用快照複本以進行快速快照還原。您必須明確啟用快照複本的快速快照還原。 + 如果複製快照並將其加密為新的 KMS 金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。 + 如果您將快照複製到新區域,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。 + 如果您使用外部或跨區域資料傳輸,則需支付額外的 [EC2 資料傳輸](https://aws.amazon.com/ebs/pricing/)費用。如果您在啟動後刪除任何快照,仍需支付已傳輸資料的費用。 ## 快照副本的目的地 來源快照的位置會決定您是否可以複製它。 + 如果來源快照位於區域中,您可以將該區域內的快照複製到另一個區域、與該區域Outpost相關聯的 ,或是該區域中的本機區域。 + 如果來源快照位於本機區域,您可以在相同的本機區域中將其複製到相同區域群組中的另一個本機區域,或複製到該本機區域的父區域。 + 如果來源快照位於 上Outpost,則無法複製它。 ## 增量式快照複製 使用相同 KMS 金鑰之相同帳戶和區域內的快照複製操作一律是增量複本。不過,如果您使用不同的 KMS 金鑰來加密快照複本,則複本為完整複本。 當您跨區域或帳戶複製快照時,如果符合下列條件,則該複本即為增量式複本: + 之前已將快照複製到目的地區域或帳戶。 + 最近的快照複本仍存在於目的地區域或帳戶中。 + 最新的快照副本尚未封存。 + 目標區域或帳戶中快照的所有複本都未加密,或是已使用相同 CMK 進行加密。 **提示** 我們建議您使用磁碟區 ID 和建立時間標記快照複本,以便追蹤目的地區域或帳戶中磁碟區的最新快照複本。 若要檢視您的快照複本是否為增量式,請檢查 [copySnapshot](ebs-cloud-watch-events.md#copy-snapshot-complete) CloudWatch 事件。 # Amazon EBS 快照和 EBS 後端 AMIs 的時間型複本 透過確保您的 EBS 快照和 EBS 後端 AMIs 在指定時間範圍內跨 AWS 區域複製,以時間為基礎的複本可協助您符合資料複寫的合規或業務需求。以時間為基礎的複本也可以協助備份管理員滿足嚴格的災難復原要求 (復原點目標和復原時間目標),並透過確保快照和 EBS 支援的 AMIs 的可預測複製時間來提高開發敏捷性。 使用以時間為基礎的快照和 EBS 支援的 AMI 複製操作,您可以指定 15 分鐘到 48 小時之間的完成持續時間,其中要完成複製。完成持續時間必須以 15 分鐘為增量來指定。 **Topics** + [配額](#time-based-copies-quota) + [判斷您的完成持續時間](#time-based-copies-how) + [考量事項](#time-based-copies-considerations) + [監控](#time-based-copies-monitoring) + [定價和計費](#time-based-copies-pricing) ## 配額 下列配額適用於以時間為基礎的快照和 EBS 支援的 AMI 複製操作: | 配額 | Description | 配額值 | 可調整 | | --- | --- | --- | --- | | 快照複製操作輸送量配額 | 單一時間型快照複製操作可達到的最大輸送量。 對於 AMI 複製操作,配額適用於與 AMI 相關聯的每個個別快照。 | 500 MiB/s | 否 | | 累積快照複製輸送量配額 | 來源和目的地區域之間的並行時間型快照複製操作可達到的最大累積輸送量。 對於 AMI 複製操作,與 AMI 相關聯的每個個別快照都會計入配額。 | 2,000 MiB/s | [是](https://console.aws.amazon.com/servicequotas/home/services/ebs/quotas/L-E137849C) | 當您啟動以**時間為基礎的快照複製操作**時,您可以指定完成持續時間。請求使用的輸送量取決於快照資料的大小和請求的完成持續時間。例如,如果您複製具有 225,000 MiB (0.214 TiB) 資料的快照,並請求 15 分鐘的完成持續時間,則輸送量為 250 MiB/s (225,000 MiB ÷ 15 分鐘 = 250 MiB/s)。 當您啟動以**時間為基礎的 AMI 複製操作**時,您指定的完成持續時間會套用至與 AMI 相關聯的每個快照。由於每個快照可以有不同的大小,因此會以不同的輸送量複製每個快照,以確保所有快照都會在完成期間內複製。例如,假設您有一個具有下列關聯快照的 AMI: + 快照 1:200,000 MiB + 快照 2:500,000 MiB + 快照 3:450,000 MiB 如果您為此 AMI 啟動以時間為基礎的複本,並指定 60 分鐘的完成持續時間,則請求會使用下列輸送量: + 快照 1:55.56 MiB/s (200,000 MiB ÷ 60 分鐘 = 55.56 MiB/s) + 快照 2:138.89 MiB/s (500,000 MiB ÷ 60 分鐘 = 138.89 MiB/s) + 快照 3:125 MiB/s (450,000 MiB ÷ 60 分鐘 = 125 MiB/s) 這表示請求會使用累積快照複製輸送量配額的 319.45 MiB/s,以確保複製在 60 分鐘內完成。 如果您啟動以時間為基礎的快照或 EBS 支援的 AMI 複製請求,且可用的累積快照複製輸送量配額為: + 大於或等於所需的輸送量速率,複製會在請求的完成期間內完成。 + 低於所需的輸送量速率但大於零,請求會成功,但需要比您請求更長的時間。使用您可用的輸送量配額完成複製。 + 零 (達到配額),請求失敗。 ## 判斷您的完成持續時間 您可以請求時間型快照或 EBS 後端 AMI 複製操作的最短完成持續時間為 15 分鐘,而您可以請求的最長完成持續時間為 48 小時。完成持續時間必須以 15 分鐘為增量來指定。 **並行時間型快照複製操作** 您可以在相同來源和目的地區域之間執行並行時間型快照複製操作,只要所有並行操作的合併輸送量都在累積快照複製輸送量配額內 (預設為 2,000 MiB/s)。 若要判斷您是否可以實現現有快照所需的完成持續時間,請將所有快照的合併大小除以所需的完成持續時間,以判斷所需的輸送量速率。 **提示** 如果您不知道快照中資料的確切大小,則可以改用完整快照大小做為代理。若要取得完整快照大小,請使用 [ describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) AWS CLI 命令。 ``` required throughput rate = combined snapshot size ÷ required completion duration ``` 如果所需的輸送量率低於累積快照複製輸送量配額,您可以達到所需的完成持續時間。如果所需的輸送量率大於累積快照複製輸送量配額,建議您請求提高配額,該配額至少比所需的輸送量率高出 10%。 **提示** Amazon EC2 主控台提供一個計算器,您可以用來根據特定的累積快照複製輸送量配額,檢查您在兩個區域之間在特定期間內複製了多少快照資料,以及您可以為該資料量達到的最短可實現完成持續時間。計算器使用 `SnapshotCopyBytesTransferred` CloudWatch 指標來計算在一段時間內兩個區域之間複製的資料。若要開啟計算器,請在 Amazon EC2 主控台導覽面板中,選取**快照**,然後選擇**動作**、**啟動複製持續時間計算器**。 AWS Outposts本機區域和 Wavelength 區域不支援快照複製持續時間計算器。 **個別時間型快照複製操作** 您可以計算個別時間型快照複製操作的最短完成持續時間,方法是將快照資料的大小除以快照複製操作輸送量配額 (500 MiB/s)。 **提示** 如果您不知道快照中資料的確切大小,則可以改用完整快照大小做為代理。若要取得完整快照大小,請使用 [ describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) AWS CLI 命令。 ``` minimum completion duration = Max(15 minutes, (snapshot data size ÷ 500 MiB/s) ``` 例如,具有 900,000 MiB 資料之快照的最短完成持續時間為 30 分鐘。 ``` minimum completion duration = Max(15 minutes, (900,000 MiB ÷ 500 MiB/s) = Max(15 minutes, 30 minutes) = 30 minutes ``` **基於時間的 AMI 複製操作** 若針對包含單一關聯快照的 EBS 支援的 AMI 來起始基於時間的 AMI 複製操作,則其行為方式與**個別基於時間的快照複製操作**相同,且相同的輸送量限制適用。 當您為具有多個關聯快照的 EBS 後端 AMI 啟動以時間為基礎的 AMI 複製操作時,其行為方式與**同時以時間為基礎的快照複製操作**相同,且適用相同的輸送量限制。每個關聯快照皆會產生單獨的快照複製請求,每個請求都會計入您的累積快照複製輸送量配額。您指定的完成持續時間會套用於每個關聯快照。 ## 考量事項 + 您可以在相同區域內複製快照或跨區域複製快照時,啟動以時間為基礎的快照和 EBS 支援的 AMI 複製操作。 + 如果您為相同的快照或 AMI 啟動兩個以時間為基礎的複製操作,則第二個複製操作的完成持續時間只會在第一個複製操作完成後開始。 + AWS Outposts本機區域和 Wavelength 區域不支援以時間為基礎的複製操作和快照複製持續時間計算器。 ## 監控 您可以使用 Amazon EC2 主控台和 監控時間型快照和 EBS 後端 AMI 複製操作的進度 AWS CLI。在主控台中,選取快照,然後在**詳細資訊索引標籤**中檢查**進度**欄位。使用 AWS CLI,檢查 [ describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令回應中的`Progress`輸出元素。 您可以在 主控台或 `StartTime``CompletionTime``describe-snapshots`回應中,檢查**已開始**和**已完成**時間之間的差異,以檢查時間為基礎的快照或 EBS 支援的 AMI 複製操作是否在請求的完成期間內完成。 您也可以使用 `copySnapshot` Amazon EventBridge 事件來監控以時間為基礎的複製操作結果。事件指出操作是否已完成,以及是否符合請求的完成持續時間。如果不符合完成持續時間,事件會包含有關原因的詳細資訊。如需詳細資訊,請參閱[EBS 快照事件](ebs-cloud-watch-events.md#snapshot-events)。 ## 定價和計費 **注意** 與標準快照複製操作類似,如果您將快照複製到新區域,則會建立完整 (非增量) 複本,進而產生額外的儲存成本。相同快照的後續複本為增量複本。此外,如果您使用外部或跨區域資料傳輸,則需支付額外的 Amazon EC2 資料傳輸費用。 時間型快照和 EBS 後端 AMI 複製操作需支付額外費用。以時間為基礎的複製操作會根據所請求的完成持續時間,按複製快照資料的每 GiB 收費。固定費率如下所示: **注意** 完成持續時間必須以 15 分鐘為增量來指定。最短完成持續時間為 15 分鐘,最長為 48 小時。 + 15 分鐘 — 每 GiB 資料 0.020 美元 + 30 分鐘和 45 分鐘 — 每 GiB 資料 0.018 美元 + 1 小時到 1 小時 45 分鐘 — 每 GiB 的資料 0.016 美元 + 2 小時至 3 小時 45 分鐘 — 每 GiB 資料 0.014 美元 + 4 小時至 7 小時 45 分鐘 — 每 GiB 資料 0.012 美元 + 8 小時至 15 小時 45 分鐘 — 每 GiB 資料 0.010 美元 + 16 小時或以上 — 每 GiB 資料 0.005 美元 例如,如果您複製具有 3,000 GiB 資料且完成持續時間為 8 小時的快照,則會向您收取 30 USD (0.010 USD x 3,000 GiB)。 如果您啟動以時間為基礎的複製操作,但由於您超過配額而不符合請求的完成持續時間,則會根據實際完成持續時間而非請求的完成持續時間向您收費。例如,如果您請求 1 小時的完成持續時間,但操作在 2 小時內完成,則會根據 2 小時完成持續時間的費率向您收費。 如果 Amazon EBS 無法達到請求的完成持續時間,或者請求因為服務端問題而取消,則不會向您收取以時間為基礎的快照複製操作的額外費用。 如果您在以時間為基礎的快照複製操作仍在進行中時刪除快照複本,則會以對應於指定完成持續時間的速率,向您收取截至該時間點為止複製的資料費用。 ## 加密和快照複製 **注意** Amazon S3 伺服器端加密 (256 位元 AES) 可在複製操作期間保護傳輸中的快照資料。 您可以建立未加密來源快照的加密快照複本。您也可以使用與來源快照不同的 KMS 金鑰來加密快照複本。不過,在複製操作期間變更快照複本的加密狀態可能會導致完整 (非增量) 複本,進而產生更高的資料傳輸和儲存費用。 **提示** 使用與您共用的加密快照時,建議您複製快照並使用您擁有的 KMS 金鑰來重新加密快照。這可在原始 KMS 金鑰遭到入侵,或擁有者撤銷您的存取權時保護您,這可能會導致您無法存取快照和從中建立的任何加密磁碟區。 **複製加密快照的許可** 若要複製加密快照,您的使用者必須具有下列許可,才能使用 Amazon EBS 加密。 + + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` + 若要複製從另一個 AWS 帳戶共用的加密快照,您必須具有使用用於加密該快照之客戶受管金鑰的許可。如需詳細資訊,請參閱[共用用於加密共用 Amazon EBS 快照的 KMS 金鑰](share-kms-key.md)。 **快照複本的加密結果** 下表說明複製您擁有的快照和與您共用的快照時的加密結果。 | 根據預設,目的地區域的加密 | 來源快照 | 快照複製加密結果 | 注意 | | --- | --- | --- | --- | | Disabled | 未加密 | 選用加密 | 如果您加密複本,您可以指定要使用的 KMS 金鑰。如果您加密複本但未指定 KMS 金鑰,則預設會使用指定用於加密的金鑰。 | | Disabled | 加密 | 自動加密 | 您可以指定要使用的 KMS 金鑰。如果您未指定 KMS 金鑰,則會使用 AWS 受管金鑰 (aws/ebs)。 | | 已啟用 | 未加密 | 自動加密 | 您可以指定要使用的 KMS 金鑰。如果您未指定 KMS 金鑰,預設會使用指定用於加密的金鑰。 | | 已啟用 | 加密 | 自動加密 | 您可以指定要使用的 KMS 金鑰。如果您未指定 KMS 金鑰,預設會使用指定用於加密的金鑰。 | ## 複製快照 您可以將快照從一個區域複製到另一個區域。您可以將未加密的快照複製到加密的快照。不過,如果您嘗試複製加密的快照,而沒有使用加密金鑰的許可,則操作會無提示地失敗,而且快照複本會收到「無法存取授與的金鑰 ID」狀態訊息。 ------ #### [ Console ] **複製快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取要複製的快照,然後選取 **Actions** (動作)、**Copy snapshot** (複製快照)。 1. 對於 **Description** (描述),輸入快照複本的簡短描述。 根據預設,描述包括來源快照的資訊,讓您能夠辨識原始和複本內容。 1. 指定快照複本的目的地。 + 若要將快照複製到相同區域或不同區域,請選取**AWS 區域**,然後選取目的地區域。 + 若要將快照複製到本機區域,請選取**AWS 本機區域**,然後選取目的地本機區域。 + (*Outpost僅限 客戶*) 若要將快照複製到 Outpost,請選取 ,**AWS Outpost**然後輸入目的地 的 ARNOutpost。 1. 如果您需要在特定時間範圍內完成快照複本,請選取**啟用以時間為基礎的複本**。對於**完成持續時間**,輸入所需的完成持續時間,以 15 分鐘遞增。如需詳細資訊,[Amazon EBS 快照和 EBS 後端 AMIs 的時間型複本](time-based-copies.md)。 如果您不需要在特定時間範圍內完成快照複本,請勿啟用以時間為基礎的複本。在此情況下,快照複本會盡最大努力完成。 1. (*Outpost僅限 客戶*) 若要Outpost在所選區域中的 上建立快照複本,請在**快照目的地**選擇 **AWS Outpost**,然後在**目的地 Outpost ARN** 中輸入要複製快照Outpost之 的 ARN。快照**目的地**欄位只有在您在Outpost選取的區域中具有 和 時才會顯示。 1. 指定快照複本的加密狀態。 如果來源快照已加密,或您的帳戶[預設為啟用加密](encryption-by-default.md),則快照複本會自動加密。如果來源快照未加密,而且您的帳戶預設未啟用加密,則加密是選用的。 1. 選擇 **Copy Snapshot (複製快照)**。 ------ #### [ AWS CLI ] **將快照複製到另一個區域** 使用 [copy-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-snapshot.html) 命令。下列範例會將指定的快照從來源區域複製到 `--region`選項指定的目前區域。 ``` aws ec2 copy-snapshot \ --source-snapshot-id snap-0abcdef1234567890 \ --source-region us-east-1 \ --region us-west-2 ``` **將未加密的快照複製到加密的快照** 使用 [copy-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-snapshot.html) 命令。下列範例會將指定的未加密快照從來源區域複製到目前區域,並使用指定的 KMS 金鑰加密新的快照。 ``` aws ec2 copy-snapshot \ --source-snapshot-id snap-0abcdef1234567890 \ --source-region us-east-1 \ --encrypted \ --kms-key-id alias/my-kms-key ``` ------ #### [ PowerShell ] **將快照複製到另一個區域** 使用 [Copy-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Snapshot.html) cmdlet。下列範例會將指定的快照從來源區域複製到 `--region`選項指定的目前區域。 ``` Copy-EC2Snapshot ` -SourceSnapshotId snap-0abcdef1234567890 ` -SourceRegion us-east-1 ` -Region us-west-2 ``` **將未加密的快照複製到加密的快照** 使用 [Copy-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Snapshot.html) cmdlet。下列範例會將指定的未加密快照從來源區域複製到目前區域,並使用指定的 KMS 金鑰加密新的快照。 ``` Copy-EC2Snapshot ` -SourceSnapshotId snap-0abcdef1234567890 ` -SourceRegion us-east-1 ` -Encrypted $true ` -KmsKeyId alias/my-kms-key ``` ------ # 與其他 AWS 帳戶共用 Amazon EBS 快照 您可以修改快照的許可,與其他 AWS 帳戶共用快照。您可以公開與所有其他 AWS 帳戶共用快照,也可以私下與您指定的個別 AWS 帳戶共用快照。您授權的使用者可使用您共用的快照,以建立他們自己的 EBS 磁碟區,同時原始快照仍然不受影響。 **重要** 當您共用快照時,即向其他人授予快照上所有資料的存取權。僅與您信任的人共用快照,共用*所有*快照資料。 若要防止公開共用快照,您可以啟用 [封鎖 Amazon EBS 快照的公開存取](block-public-access-snapshots.md)。 **Topics** + [共用快照之前](#share-snapshot-considerations) + [共享快照](#share-unencrypted-snapshot) + [共用 KMS 金鑰](share-kms-key.md) + [使用共用快照](view-shared-snapshot.md) + [決定使用您共用的快照](#shared-snapshot-cloudtrail-logging) ## 共用快照之前 共用快照時有下列考量: + 如果針對特定區域啟用快照的封鎖公開存取功能,只要嘗試公開共用快照就會遭到封鎖。快照仍可供私下分享。 + 快照受限於其建立的區域。若要與另一個區域共用快照,請將該快照複製到該區域,然後共用。如需詳細資訊,請參閱[複製 Amazon EBS 快照](ebs-copy-snapshot.md)。 + 您無法共用透過預設 AWS 受管金鑰加密的快照。您只能共用透過客戶受管金鑰加密的快照。如需詳細資訊,請參閱*AWS Key Management Service 開發人員指南*中的 [建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。 + 您只能公開共用未加密的快照。 + 當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。如需詳細資訊,請參閱 [共用用於加密共用 Amazon EBS 快照的 KMS 金鑰](share-kms-key.md)。 ## 共享快照 您可以公開或與特定 AWS 帳戶共用快照。 ------ #### [ Console ] **共用快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取要共用的快照,然後選取 **Actions** (動作)、**Modify permissions** (修改許可)。 1. 指定快照的許可。*目前設定*指出快照目前的共用許可。 + 若要公開與所有 AWS 帳戶共用快照,請選擇**公開**。 + 若要私下與特定 AWS 帳戶共用快照,請選擇**私有**。然後,在 **Sharing accounts** (共用帳戶) 區段中,選擇 **Add account** (新增帳戶),並輸入帳戶的 12 位數帳戶 ID (無連字號) 以開始。 1. 選擇**儲存變更**。 ------ #### [ AWS CLI ] 快照的許可是使用快照的 `createVolumePermission` 屬性指定。若要將快照公開,請將群組設為 `all`。若要與特定 AWS 帳戶共用快照,請將使用者設定為 AWS 帳戶的 ID。 **公開共用快照** 使用 [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html) 命令。 在 `--attribute`,請指定 `createVolumePermission`。在 `--operation-type`,請指定 `add`。在 `--group-names`,請指定 `all`。 ``` aws ec2 modify-snapshot-attribute \ --snapshot-id snap-0abcdef1234567890 \ --attribute createVolumePermission \ --operation-type add \ --group-names all ``` **私下共用快照** 使用 [modify-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html) 命令。 在 `--attribute`,請指定 `createVolumePermission`。在 `--operation-type`,請指定 `add`。針對 `--user-ids`,指定要與其共用快照之 AWS 帳戶的 12 位數 IDs。 ``` aws ec2 modify-snapshot-attribute \ --snapshot-id snap-0abcdef1234567890 \ --attribute createVolumePermission \ --operation-type add \ --user-ids 123456789012 111122223333 ``` ------ #### [ PowerShell ] 快照的許可是使用快照的 `createVolumePermission` 屬性指定。若要將快照公開,請將群組設為 `all`。若要與特定 AWS 帳戶共用快照,請將使用者設定為 AWS 帳戶的 ID。 **公開共用快照** 使用 [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html) cmdlet。 在 `-Attribute`,請指定 `CreateVolumePermission`。在 `-OperationType`,請指定 `Add`。在 `-GroupName`,請指定 `all`。 ``` Edit-EC2SnapshotAttribute ` -SnapshotId snap-0abcdef1234567890 ` -Attribute CreateVolumePermission ` -OperationType Add ` -GroupName all ``` **私下共用快照** 使用 [Edit-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotAttribute.html) cmdlet。 在 `-Attribute`,請指定 `CreateVolumePermission`。在 `-OperationType`,請指定 `Add`。針對 `UserId`,指定要與其共用快照之 AWS 帳戶的 12 位數 IDs。 ``` Edit-EC2SnapshotAttribute ` -SnapshotId snap-0abcdef1234567890 ` -Attribute CreateVolumePermission ` -OperationType Add ` -UserId 123456789012 111122223333 ``` ------ # 共用用於加密共用 Amazon EBS 快照的 KMS 金鑰 當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。您可以在建立客戶受管金鑰時,為其套用跨帳戶許可,或之後再套用。 存取加密快照的共用客戶受管金鑰使用者必須獲得許可,才可對金鑰執行下列動作: + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **提示** 若要遵循最低權限原則人,請勿允許 `kms:CreateGrant` 的完整存取。反之,使用 `kms:GrantIsForAWSResource`條件金鑰來允許使用者在 KMS 金鑰上建立授予,前提是授予是由 AWS 服務代使用者建立。 如需控制客戶受管金鑰存取的詳細資訊,請參閱 [AWS KMS開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)中的*在AWS Key Management Service 中使用金鑰政策*。 **使用 AWS KMS 主控台共用客戶受管金鑰** 1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。 1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。 1. 選擇導覽窗格中的 **Customer managed keys (客戶受管金鑰)**。 1. 在 **(Alias) 別名**資料欄中,選擇用來加密快照的客戶管理金鑰別名 (文字連結)。重要詳細資料會在新頁面開啟。 1. 在 **Key policy (金鑰政策)** 區段中,您會看到 *policy view (政策檢視)* 或 *default view (預設檢視)*。原則檢視會顯示重要的政策文件。預設檢視會顯示 **Key administrators** (金鑰管理員)、**Key deletion** (金鑰刪除)、**Key Use** (金鑰使用) 和 **Other AWS accounts** (其他 AWS 帳戶) 的區段。如果已在主控台中建立政策,但尚未自訂政策,則會顯示預設檢視。如果無法使用預設檢視,則需要在政策檢視中手動編輯政策。如需詳細資訊,請參閱*AWS Key Management Service 開發人員指南*中的 [檢視金鑰政策 (主控台)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console)。 根據您可以存取的檢視,使用政策檢視或預設檢視,將一或多個 AWS 帳戶 IDs 新增至政策,如下所示: + (政策檢視) 選擇 **Edit (編輯)**。將一或多個 AWS 帳戶 IDs 新增至下列陳述式: `"Allow use of the key"`和 `"Allow attachment of persistent resources"`。選擇**儲存變更**。在下列範例中, AWS 帳戶 ID `444455556666` 會新增至政策。 ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (預設檢視) 向下捲動至**其他 AWS 帳戶**。選擇**新增其他 AWS 帳戶**,然後根據提示輸入 AWS 帳戶 ID。若要新增另一個帳戶,請選擇**新增另一個 AWS 帳戶**,然後輸入 AWS 帳戶 ID。新增所有 AWS 帳戶之後,選擇 **Save changes** (儲存變更)。 # 使用與您共用的 Amazon EBS 快照 **若要使用共用的未加密快照** 依 ID 或描述來尋找共用快照。您可以使用此快照,就像您在帳戶中擁有的任何其他快照一樣。例如,您可以從快照中建立磁碟區,或將其複製到不同區域。 **若要使用共用的加密快照** 依 ID 或描述來尋找共用快照。在您的帳戶中建立共用快照的複本,並使用您擁有的 KMS 金鑰對複本加密。然後,可以使用該複本來建立磁碟區,或者將其複製到不同的區域。 ------ #### [ Console ] **檢視快照許可** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取快照。 1. 如果篩選條件是**我所擁有**,則快照是此帳戶所擁有。如果篩選條件是**私有快照**,則快照會由此帳戶擁有或專門與此帳戶共用。選取快照並在**詳細資訊**索引標籤上,檢查**擁有者**是否指定此帳戶或不同的帳戶。 ------ #### [ AWS CLI ] **檢視快照許可** 使用 [describe-snapshot-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshot-attribute.html) 命令來取得指定快照的快照許可。 ``` aws ec2 describe-snapshot-attribute \ --snapshot-id snap-0abcdef1234567890 \ --attribute createVolumePermission ``` 以下為範例輸出。 ``` { "SnapshotId": "snap-0abcdef1234567890", "CreateVolumePermissions": [ { "UserId": "111122223333" } ] } ``` ------ #### [ PowerShell ] **檢視快照許可** 使用 [Get-EC2SnapshotAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotAttribute.html) cmdlet。 ``` (Get-EC2SnapshotAttribute ` -SnapshotId snap-0abcdef1234567890 ` -Attribute createVolumePermission).CreateVolumePermissions ``` 以下為範例輸出。 ``` Group UserId ----- ------ 111122223333 ``` ------ ## 決定使用您共用的快照 您可以使用 AWS CloudTrail 來監控您與他人共用的快照是否已複製或用於建立磁碟區。當您在共用的快照上採取動作時,下列事件會記錄在 CloudTrail 中: + **SharedSnapshotCopyInitiated** – 共用的快照正在複製中。 + **SharedSnapshotVolumeCreated** – 共用的快照用於建立磁碟區。 如需使用 CloudTrail 的詳細資訊,請參閱[使用 記錄 Amazon EC2 和 Amazon EBS API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html)。 # 封存 Amazon EBS 快照 Amazon EBS 快照封存是一種儲存層,可用於低成本、長期儲存您很少存取且不需要頻繁或快速擷取的快照。 根據預設,當您建立快照時,其會存放在 Amazon EBS 快照標準層 (*標準層*) 中。存放在標準層中的快照是增量快照。這表示僅儲存最近快照後,磁碟區上已變更的區塊。 當您封存快照時,增量快照會轉換為完整快照,且其會從標準層移至 Amazon EBS 快照封存層 (*封存層*)。完整快照包括建立快照時寫入至磁碟區的所有區塊。 需要存取已封存的快照時,您可以將其從封存層還原至標準層,然後以與您在帳戶中使用任何其他快照相同的方式使用該快照。 對於計劃存放 90 天或更長時間且您很少需要存取的快照,Amazon EBS 快照封存可降低高達 75% 的快照儲存成本。 一些典型的使用案例包括: + 封存磁碟區的唯一快照,例如專案結束快照 + 基於合規原因,封存完整時間點增量快照。 + 封存每月、每季或每年增量快照。 **Topics** + [配額](#archive-quotas) + [考量和限制](snapshot-archive-considerations.md) + [定價和計費](snapshot-archive-pricing.md) + [準則和最佳實務](archiving-guidelines.md) + [所需的許可](snapshot-archiving-iam.md) + [封存快照](archive-snapshot.md) + [還原封存的快照](restore-archived-snapshot.md) + [修改還原期間](modify-temp-restore-period.md) + [檢視封存的快照](view-archived-snapshot.md) + [監控快照封存](monitor-snapshot-archiving.md) ## 配額 本節描述已封存和進行中快照的預設配額。 | 配額 | 預設配額 | | --- | --- | | 每個磁碟區的已封存快照 | 25 | | 每個帳戶並行進行中的快照封存 | 25 | | 每個帳戶並行進行中的快照還原 | 5 | 如果您需要超過預設限制,請完成 支援 中心[建立案例](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-ebs)表單以請求提高限制。 # 封存 Amazon EBS 快照的考量和限制 存檔 Amazon EBS 快照時,請記住下列事項。 **考量事項** + 最短封存期間為 90 天。如果您在最短封存期間 90 天之前刪除或永久還原已封存的快照,則會向您收取封存層剩餘天數的費用,四捨五入至最接近的小時。如需詳細資訊,請參閱 [封存 Amazon EBS 快照的定價和帳單](snapshot-archive-pricing.md)。 + 將封存的快照從封存層還原到標準層最多可能需要 72 小時,取決於快照的大小。 + 封存的快照一律是完整快照。完整快照包括建立快照時寫入至磁碟區的所有區塊。完整快照可能會大於從中建立其的增量快照。不過,如果您在標準層上只有一個磁碟區的快照,則封存層中完整快照的大小將與標準層中的快照相同。這是因為磁碟區的第一個快照一律是完整快照。若要取得完整的快照大小,請使用 [ describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) AWS CLI 命令。 + 建議對每月、每季或每年快照進行封存。與保留在標準層中相比,封存單一磁碟區的每日增量快照可能會導致更高的成本。 + 封存快照時,快照關係中其他快照所參考的快照資料都會保留在標準層中。與標準層上保留的參考資料相關聯的資料和儲存成本會配置給關係中的下一個快照。這可確保關係中的後續快照不會受到封存的影響。 + 如果您刪除符合資源回收筒保留規則的封存快照,封存的快照會保留在資源回收筒中,其保留時間為定義在保留規則的保留期間。若要使用快照,您必須先從資源回收筒復原快照,然後再從封存層還原快照。如需詳細資訊,請參閱[資源回收筒](recycle-bin.md)和 [封存 Amazon EBS 快照的定價和帳單](snapshot-archive-pricing.md)。 + 無法在區塊型裝置映射中使用封存快照,也無法建立 Amazon EBS 磁碟區。 + 您可以使用 AWS Backup 主控台、 API 或命令列工具 AWS Backup 來封存建立的快照。 APIs 如需詳細資訊,請參閱 *AWS Backup Developer Guide* 中的 [ Creating a backup plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。 **限制** + 您可以封存僅處於 `completed` 狀態的快照。 + 您只能封存您在帳戶中擁有的快照。若要封存與您共用的快照,請先將快照複製到您的帳戶,然後封存快照複本。 + 在可以使用封存的快照之前,必須先將其還原至標準層。必須還原至標準層,才能透過 `CreateVolume` 和 `RunInstances` API 操作從快照建立磁碟區,以及共用或複製快照。如需詳細資訊,請參閱[還原封存的 Amazon EBS 快照](restore-archived-snapshot.md)。 + 只有在停用所有相關聯的 AMI 時,才可以對與一個或多個 AMI 相關聯的快照進行封存。如需詳細資訊,請參閱[停用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html)。 + 如果暫時還原相關聯的快照,則無法啟用已停用的 AMI。您必須先永久還原所有相關聯的快照,才能啟用 AMI。 + 啟動快照封存或快照還原程序之後,您無法將其取消。 + 您無法共用封存的快照。如果您封存已與其他帳戶共用的快照,則在封存快照之後,共用快照的帳戶會失去存取權。 + 您無法複製封存的快照。如果需要複製封存的快照,您必須先將其還原。 + 您無法針對封存的快照啟用快速快照還原。封存快照時,快速快照還原會自動停用。如果需要使用快速快照還原,您必須在還原快照之後手動將其啟用。 # 封存 Amazon EBS 快照的定價和帳單 封存的快照以每 GB 每月 0.0125 美元的費率計費。例如,如果您封存 100 GiB 快照,則每月向您收取 1.25 美元的費用 (100 GiB \$1 0.0125 美元)。 快照還原是以每 GB 還原的資料 0.03 美元的費率計費。例如,如果您從封存層還原 100 GiB 快照,則會一次向您收取 3 美元的費用 (100 GiB \$1 0.03 美元)。 將快照還原至標準層之後,快照會按照每 GB 每月 0.05 美元的標準費率計費。 如需詳細資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。 **最短封存期間的計費** 最短封存期間為 90 天。如果您在最短封存期間 90 天之前刪除或永久還原已封存的快照,則會按比例向您收取費用,此費用等同於剩餘天數的封存層儲存費用,四捨五入至最接近的小時。例如,如果您在 40 天之後刪除或永久還原已封存的快照,則會向您收取最短封存期間剩餘 50 天的費用。 **注意** 在最短封存期間 90 天之前,暫時還原已封存的快照並不會產生此費用。 **暫時還原** 當您暫時還原快照時,快照會從封存層還原到標準層,而且快照複本仍會保留在封存層中。在暫時還原期間,會向您收取標準層中快照和封存層中快照複本的費用。從標準層移除暫時還原的快照時,就不會再向您收取該快照費用,而且只會向您收取封存層中快照的費用。 **永久還原** 當您永久還原快照時,快照會從封存層還原到標準層,而且快照會從封存層中刪除。只會針對標準層中的快照向您收費。 **刪除快照** 如果您在封存快照時將其刪除,則會向您收取已移至封存層的快照資料費用。此資料受限於最短封存期間 90 天,並在刪除時相應地計費。例如,如果您封存 100 GiB 快照,並在僅封存 40 GiB 之後刪除快照,則會針對已封存的 40 GiB 向您收取最短封存期間 90 天的費用 1.50 美元 (每 GB 每月 0.0125 美元 \$1 40 GB \$1 (90 天 \$1 24 小時) / (24 小時/天 \$1 每月 30 天))。 如果從封存層還原快照時將其刪除,則會向您收取完整快照大小的快照還原費用 (快照大小 \$1 0.03 美元)。例如,如果您從封存層還原 100 GiB 快照,並在快照還原完成之前任何時間點將其刪除,則會向您收取 3 美元的費用 (100 GiB 快照大小 \$1 0.03 美元)。 **資源回收筒** 封存的快照在資源回收筒中時,會以封存快照的費率計費。資源回收筒中的已封存快照受限於最短封存期間 90 天,如果它們在最短封存期間之前遭資源回收筒刪除,則會相應地計費。換言之,如果保留規則在最短期間 90 天之前,從資源回收筒刪除封存的快照,則會向您收取剩餘天數的費用。 如果您在快照封存時刪除符合資源回收筒保留規則的快照,封存的快照會保留在資源回收筒中,其保留時間為定義在保留規則的保留期間。按封存快照的費率計費。 如果您在快照還原時刪除符合保留規則的快照,還原的快照會保留在資源回收筒中,其保留時間為保留期間的剩餘天數,並按標準快照費率計費。若要使用還原的快照,您必須先從資源回收筒復原該快照。 如需詳細資訊,請參閱[資源回收筒](recycle-bin.md)。 **成本追蹤** 封存的快照會顯示在 中 AWS Cost and Usage Report ,其中包含相同的資源 ID 和 Amazon Resource Name (ARN)。如需詳細資訊,請參閱[「AWS Cost and Usage Report 使用者指南」](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)。 您可以使用下列使用類型來識別相關聯的成本: + `SnapshotArchiveStorage` – 每月資料儲存費用 + `SnapshotArchiveRetrieval` - 快照還原的一次性費用 + `SnapshotArchiveEarlyDelete` – 在最短封存期間 (90 天) 之前刪除或永久還原快照的費用 # 封存 Amazon EBS 快照的指導方針和最佳實務 本節為封存快照提供一些指導方針和最佳實務。 **Topics** + [封存磁碟區的唯一快照](#guidelines-single-snapshot) + [封存單一磁碟區的增量快照](#guidelines-incremental-snapshot) + [基於合規原因,封存完整快照](#guidelines-full-snapshot) + [判斷標準層儲存成本是否降低](#archive-guidelines) ## 封存磁碟區的唯一快照 當一個磁碟區只有一個快照時,快照的大小一律與建立快照時寫入至磁碟區的區塊相同。當您封存這類快照時,標準層中的快照會轉換為同等大小的完整快照,並將其從標準層移至封存層。 封存這些快照可協助您以較低的儲存成本節省費用。如果不再需要來源磁碟區,您可以刪除該磁碟區,以進一步節省儲存成本。 ![\[建立快照、封存該快照,然後刪除來源磁碟區。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/archive-single-snap.png) ## 封存單一磁碟區的增量快照 當您封存增量快照時,該快照會轉換為完整快照,且其會移至封存層。例如,在下圖中,如果封存 **Snap B** (快照 B),快照會轉換為大小為 10 GiB 的完整快照,並移至封存層。同樣地,如果您封存 **Snap C** (快照 C),則封存層中完整快照的大小為 14 GiB。 ![\[封存磁碟區的增量快照。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot_1e.png) 如果您要封存快照以降低標準層中的儲存成本,則不應將第一個快照封存在一組增量快照中。這些快照由快照關係中的後續快照參考。在大多數情況下,封存這些快照並不會降低儲存成本。 **注意** 您不應將最後一個快照封存在一組增量快照中。最後一個快照是最近取得的磁碟區快照。您將需要此快照在標準層中,如果您想要在磁碟區損毀或遺失時從這個快照建立磁碟區的話。 如果您封存的快照包含關係中後續快照所參考的資料,與參考資料相關聯的資料儲存與儲存成本會配置給關係中的後續快照。在此情況下,封存快照將不會降低資料儲存或儲存成本。例如,在上述影像中,如果您封存 **Snap B** (快照 B),其 4 GiB 的資料屬於 **Snap C** (快照 C)。 在此情況下,您的整體儲存成本會增加,因為您對 **Snap B** (快照 B) 的完整版本產生儲存成本,而且標準層的儲存成本維持不變。 如果您封存 **Snap C** (快照 C),則標準層儲存將減少 4 GiB,因為關係中的任何其他後續快照都不會參考資料。您的封存層儲存將增加 14 GiB,因為快照會轉換為完整快照。 ## 基於合規原因,封存完整快照 基於合規原因,您可能需要根據每月、每季或每年建立磁碟區的完整備份。對於這些備份,您可能需要獨立快照,而不需要向後或向前參考快照關係中的其他快照。使用 EBS 快照封存來封存的快照是完整快照,而且它們不會參考關係中的其他快照。此外,您可能需要為合規理由保留這些快照數年。EBS 快照封存可讓您以符合成本效益的方式封存這些完整快照,以進行長期保留。 ## 判斷標準層儲存成本是否降低 如果您想要封存增量快照以降低儲存成本,則應考慮封存層中完整快照的大小,以及標準層中儲存的降低。本節說明如何做到這一點 。 **重要** API 回應是在呼叫 API 的時間點準確的資料。由於快照關係中的變更,因此與快照相關聯的資料變更時,API 回應可能會有所不同。 若要判斷標準層中的儲存與儲存成本是否降低,請使用下列步驟。 1. 對於您要存檔的快照,請檢查完整快照大小及其建立來源磁碟區。使用 [ describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令,對於 `--snapshot-id`,指定您要封存的快照 ID。 ``` $ aws ec2 describe-snapshots --snapshot-id snapshot_id ``` `FullSnapshotSizeInBytes` 回應值表示完整快照大小,以位元組為單位,`VolumeId`回應值表示來源磁碟區的 ID。 例如,下列命令傳回快照 `snap-09c9114207084f0d9` 的相關資訊。 ``` $ aws ec2 describe-snapshots --snapshot-id snap-09c9114207084f0d9 ``` 下列範例輸出顯示完整快照大小為`5678912341`位元組 (5.28 GiB),而來源磁碟區為 。 `vol-0f3e2c292c52b85c3` ``` { "Snapshots": [ { "Description": "", "Tags": [], "Encrypted": false, "VolumeId": "vol-0f3e2c292c52b85c3", "State": "completed", "VolumeSize": 8, "StartTime": "2021-11-16T08:29:49.840Z", "Progress": "100%", "OwnerId": "123456789012", "FullSnapshotSizeInBytes" : "5678912341", "SnapshotId": "snap-09c9114207084f0d9" } ] } ``` 1. 尋找已從來源磁碟區建立的所有快照。使用 [describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令。指定 `volume-id` 篩選條件,並針對篩選條件值,指定來自上一個步驟的磁碟區 ID。 ``` $ aws ec2 describe-snapshots --filters "Name=volume-id, Values=volume_id" ``` 例如,下列命令會傳回已從磁碟區 `vol-0f3e2c292c52b85c3` 建立的所有快照。 ``` $ aws ec2 describe-snapshots --filters "Name=volume-id, Values=vol-0f3e2c292c52b85c3" ``` 以下是命令輸出,其中指出這些快照是從磁碟區 `vol-0f3e2c292c52b85c3` 建立的。 ``` { "Snapshots": [ { "Description": "", "Tags": [], "Encrypted": false, "VolumeId": "vol-0f3e2c292c52b85c3", "State": "completed", "VolumeSize": 8, "StartTime": "2021-11-14T08:57:39.300Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-08ca60083f86816b0" }, { "Description": "", "Tags": [], "Encrypted": false, "VolumeId": "vol-0f3e2c292c52b85c3", "State": "completed", "VolumeSize": 8, "StartTime": "2021-11-15T08:29:49.840Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-09c9114207084f0d9" }, { "Description": "01", "Tags": [], "Encrypted": false, "VolumeId": "vol-0f3e2c292c52b85c3", "State": "completed", "VolumeSize": 8, "StartTime": "2021-11-16T07:50:08.042Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-024f49fe8dd853fa8" } ] } ``` 1. 使用上一個命令的輸出,依快照的建立時間排序,從最舊到最新。每個快照的 `StartTime` 回應參數指出其建立時間,以 UTC 時間格式表示。 例如,從最舊到最新的建立時間在上一個步驟中傳回的快照,如下所示: 1. `snap-08ca60083f86816b0` (最舊 – 在您要封存的快照之前建立) 1. `snap-09c9114207084f0d9` (要封存的快照) 1. `snap-024f49fe8dd853fa8` (最新 – 在您要封存的快照之後建立) 1. 識別您要封存的快照之前和之後立即建立的快照。在此情況下,您想要封存快照 `snap-09c9114207084f0d9`,這是在三個快照組成的快照集中建立的第二個增量快照。快照 `snap-08ca60083f86816b0` 是在之前立即建立,而快照 `snap-024f49fe8dd853fa8` 是在之後立即建立。 1. 在您要封存的快照中尋找未參考的資料。首先,尋找在您要封存的快照之前立即建立的快照與您要封存的快照之間不同的區塊。使用 [list-changed-blocks](https://docs.aws.amazon.com/cli/latest/reference/ebs/list-changed-blocks.html) 命令。對於 `--first-snapshot-id`,指定在您要封存的快照之前立即建立的快照 ID。對於 `--second-snapshot-id`,指定您要封存的快照 ID。 ``` $ aws ebs list-changed-blocks --first-snapshot-id snapshot_created_before --second-snapshot-id snapshot_to_archive ``` 例如,下列命令會顯示區塊的區塊索引,這些區塊在快照 `snap-08ca60083f86816b0` (在您要封存的快照之前建立的快照) 與快照 `snap-09c9114207084f0d9` (您要封存的快照) 之間有所不同。 ``` $ aws ebs list-changed-blocks --first-snapshot-id snap-08ca60083f86816b0 --second-snapshot-id snap-09c9114207084f0d9 ``` 以下顯示命令輸出,省略了一些區塊。 ``` { "BlockSize": 524288, "ChangedBlocks": [ { "FirstBlockToken": "ABgBAX6y+WH6Rm9y5zq1VyeTCmEzGmTT0jNZG1cDirFq1rOVeFbWXsH3W4z/", "SecondBlockToken": "ABgBASyx0bHHBnTERu+9USLxYK/81UT0dbHIUFqUjQUkwTwK5qkjP8NSGyNB", "BlockIndex": 4 }, { "FirstBlockToken": "ABgBAcfL+EfmQmlNgstqrFnYgsAxR4SDSO4LkNLYOOChGBWcfJnpn90E9XX1", "SecondBlockToken": "ABgBAdX0mtX6aBAt3EBy+8jFCESMpig7csKjbO2Ocd08m2iNJV2Ue+cRwUqF", "BlockIndex": 5 }, { "FirstBlockToken": "ABgBAVBaFJmbP/eRHGh7vnJlAwyiyNUi3MKZmEMxs2wC3AmM/fc6yCOAMb65", "SecondBlockToken": "ABgBAdewWkHKTcrhZmsfM7GbaHyXD1Ctcn2nppz4wYItZRmAo1M72fpXU0Yv", "BlockIndex": 13 }, { "FirstBlockToken": "ABgBAQGxwuf6z095L6DpRoVRVnOqPxmx9r7Wf6O+i+ltZ0dwPpGN39ijztLn", "SecondBlockToken": "ABgBAUdlitCVI7c6hGsT4ckkKCw6bMRclnV+bKjViu/9UESTcW7CD9w4J2td", "BlockIndex": 14 }, { "FirstBlockToken": "ABgBAZBfEv4EHS1aSXTXxSE3mBZG6CNeIkwxpljzmgSHICGlFmZCyJXzE4r3", "SecondBlockToken": "ABgBAVWR7QuQQB0AP2TtmNkgS4Aec5KAQVCldnpc91zBiNmSfW9ouIlbeXWy", "BlockIndex": 15 }, ..... { "SecondBlockToken": "ABgBAeHwXPL+z3DBLjDhwjdAM9+CPGV5VO5Q3rEEA+ku50P498hjnTAgMhLG", "BlockIndex": 13171 }, { "SecondBlockToken": "ABgBAbZcPiVtLx6U3Fb4lAjRdrkJMwW5M2tiCgIp6ZZpcZ8AwXxkjVUUHADq", "BlockIndex": 13172 }, { "SecondBlockToken": "ABgBAVmEd/pQ9VW9hWiOujOAKcauOnUFCO+eZ5ASVdWLXWWC04ijfoDTpTVZ", "BlockIndex": 13173 }, { "SecondBlockToken": "ABgBAT/jeN7w+8ALuNdaiwXmsSfM6tOvMoLBLJ14LKvavw4IiB1d0iykWe6b", "BlockIndex": 13174 }, { "SecondBlockToken": "ABgBAXtGvUhTjjUqkwKXfXzyR2GpQei/+pJSG/19ESwvt7Hd8GHaUqVs6Zf3", "BlockIndex": 13175 } ], "ExpiryTime": 1637648751.813, "VolumeSize": 8 } ``` 接下來,使用相同的命令來尋找區塊,這些區塊在您要封存的快照與之後立即建立的快照之間有所不同。對於 `--first-snapshot-id`,指定您要封存的快照 ID。對於 `--second-snapshot-id`,指定在您要封存的快照之後立即建立的快照 ID。 ``` $ aws ebs list-changed-blocks --first-snapshot-id snapshot_to_archive --second-snapshot-id snapshot_created_after ``` 例如,下列命令會顯示區塊的區塊索引,這些區塊在快照 `snap-09c9114207084f0d9` (您要封存的快照) 與快照 `snap-024f49fe8dd853fa8` (在您要封存的快照之後建立的快照) 之間有所不同。 ``` $ aws ebs list-changed-blocks --first-snapshot-id snap-09c9114207084f0d9 --second-snapshot-id snap-024f49fe8dd853fa8 ``` 以下顯示命令輸出,省略了一些區塊。 ``` { "BlockSize": 524288, "ChangedBlocks": [ { "FirstBlockToken": "ABgBAVax0bHHBnTERu+9USLxYK/81UT0dbSnkDk0gqwRFSFGWA7HYbkkAy5Y", "SecondBlockToken": "ABgBASEvi9x8Om7Htp37cKG2NT9XUzEbLHpGcayelomSoHpGy8LGyvG0yYfK", "BlockIndex": 4 }, { "FirstBlockToken": "ABgBAeL0mtX6aBAt3EBy+8jFCESMpig7csfMrI4ufnQJT3XBm/pwJZ1n2Uec", "SecondBlockToken": "ABgBAXmUTg6rAI+v0LvekshbxCVpJjWILvxgC0AG0GQBEUNRVHkNABBwXLkO", "BlockIndex": 5 }, { "FirstBlockToken": "ABgBATKwWkHKTcrhZmsfM7GbaHyXD1CtcnjIZv9YzisYsQTMHfTfh4AhS0s2", "SecondBlockToken": "ABgBAcmiPFovWgXQio+VBrxOqGy4PKZ9SAAHaZ2HQBM9fQQU0+EXxQjVGv37", "BlockIndex": 13 }, { "FirstBlockToken": "ABgBAbRlitCVI7c6hGsT4ckkKCw6bMRclnARrMt1hUbIhFnfz8kmUaZOP2ZE", "SecondBlockToken": "ABgBAXe935n544+rxhJ0INB8q7pAeoPZkkD27vkspE/qKyvOwpozYII6UNCT", "BlockIndex": 14 }, { "FirstBlockToken": "ABgBAd+yxCO26I+1Nm2KmuKfrhjCkuaP6LXuol3opCNk6+XRGcct4suBHje1", "SecondBlockToken": "ABgBAcPpnXz821NtTvWBPTz8uUFXnS8jXubvghEjZulIjHgc+7saWys77shb", "BlockIndex": 18 }, ..... { "SecondBlockToken": "ABgBATni4sDE5rS8/a9pqV03lU/lKCW+CTxFl3cQ5p2f2h1njpuUiGbqKGUa", "BlockIndex": 13190 }, { "SecondBlockToken": "ABgBARbXo7zFhu7IEQ/9VMYFCTCtCuQ+iSlWVpBIshmeyeS5FD/M0i64U+a9", "BlockIndex": 13191 }, { "SecondBlockToken": "ABgBAZ8DhMk+rROXa4dZlNK45rMYnVIGGSyTeiMli/sp/JXUVZKJ9sMKIsGF", "BlockIndex": 13192 }, { "SecondBlockToken": "ABgBATh6MBVE904l6sqOC27s1nVntFUpDwiMcRWGyJHy8sIgGL5yuYXHAVty", "BlockIndex": 13193 }, { "SecondBlockToken": "ABgBARuZykaFBWpCWrJPXaPCneQMbyVgnITJqj4c1kJWPIj5Gn61OQyy+giN", "BlockIndex": 13194 } ], "ExpiryTime": 1637692677.286, "VolumeSize": 8 } ``` 1. 比較前一個步驟中兩個命令傳回的輸出。如果相同的區塊索引出現在兩個指令輸出中,則表示區塊包含未參考的資料。 例如,前一個步驟中的命令輸出指示區塊 4、5、13 和 14 對快照 `snap-09c9114207084f0d9` 是唯一的,並且它們不會被快照關係中的任何其他快照參考。 若要判斷標準層儲存是否減少,請將兩個命令輸出中出現的區塊數目乘以 512 KiB,也就是快照區塊大小。 例如,如果 9,950 個區塊索引出現在兩個命令輸出中,則表示您將減少標準層儲存約 4.85 GiB (9,950 個區塊 \$1 512 KiB = 4.85 GiB)。 1. 判斷將未參考區塊儲存在標準層 90 天的儲存成本。將此值與封存層中步驟 1 所述儲存完整快照的成本進行比較。假設您沒有在最短 90 天期間從封存層還原完整快照,您可以比較這些值來判斷節省的成本。如需詳細資訊,請參閱[封存 Amazon EBS 快照的定價和帳單](snapshot-archive-pricing.md)。 # 封存 Amazon EBS 快照所需的 IAM 許可 依預設,使用者沒有使用快照封存的許可。若要允許使用者使用快照封存,必須建立 IAM 政策,其會授予使用特定資源和 API 動作的許可。如需詳細資訊,請參閱《IAM 使用者指南》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 若要使用快照封存,使用者需要下列許可。 + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` 主控台使用者可能需要其他許可,例如 `ec2:DescribeSnapshots`。 若要封存和還原加密快照,需要下列額外 AWS KMS 許可。 + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` 以下是向 IAM 使用者授予許可以封存、還原和檢視加密和未加密快照許可的 IAM 政策範例。其包括主控台使用者的 `ec2:DescribeSnapshots` 許可權限。若無需某些許可,則您可從政策中將其移除。 **提示** 若要遵循最低權限原則人,請勿允許 `kms:CreateGrant` 的完整存取。反之,使用 `kms:GrantIsForAWSResource`條件金鑰來允許使用者在 KMS 金鑰上建立授予,前提是授予是由 AWS 服務代使用者建立,如下列範例所示。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ 若要提供存取權,請新增權限至您的使用者、群組或角色: + 中的使用者和群組 AWS IAM Identity Center: 建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。 + 透過身分提供者在 IAM 中管理的使用者: 建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。 + IAM 使用者: + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。 + (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。 # 封存 Amazon EBS 快照 您可以封存處於 `completed` 狀態,以及在帳戶中擁有的任何快照。您無法封存處於 `pending` 或 `error` 狀態的快照,或與您共用的快照。如需詳細資訊,請參閱[封存 Amazon EBS 快照的考量和限制](snapshot-archive-considerations.md)。 如果快照與一個或多個 AMI 相關聯,則必須先停用這些相關聯的 AMI,然後才能封存快照。如需詳細資訊,請參閱[停用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html)。 封存的快照會保留其快照 ID、加密狀態、 AWS Identity and Access Management (IAM) 許可、擁有者資訊和資源標籤。不過,快速快照還原和快照共用會在封存快照之後自動停用。 您可以在封存進行中時繼續使用快照。一旦快照分層狀態達到 `archival-complete` 狀態,您就不能再使用快照。 ------ #### [ Console ] **封存快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 在快照清單中,選取要封存的快照,然後選取 **Actions** (動作)、**Archive snapshot** (封存快照)。 1. 若要確認,請選擇 **Archive snapshot** (封存快照)。 ------ #### [ AWS CLI ] **封存快照** 使用 [ modify-snapshot-tier](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-tier.html) AWS CLI 命令。對於 `--snapshot-id`,指定要封存的快照 ID。對於 `--storage-tier`,請指定 `archive`。 ``` aws ec2 modify-snapshot-tier \ --snapshot-id snap-0abcdef1234567890 \ --storage-tier archive ``` 以下為範例輸出。`TieringStartTime` 回應參數指出封存程序的啟動日期和時間,以 UTC 時間格式 (YYYY-MM-DDTHH:MM:SSZ) 表示。 ``` { "SnapshotId": "snap-0abcdef1234567890", "TieringStartTime": "2021-09-15T16:44:37.574Z" } ``` ------ #### [ PowerShell ] **封存快照** 使用 [Edit-EC2SnapshotTier](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SnapshotTier.html) cmdlet。下列 範例會封存指定的快照。 ``` Edit-EC2SnapshotTier ` -SnapshotId snap-0abcdef1234567890 ` -StorageTier "archive" ``` ------ # 還原封存的 Amazon EBS 快照 在可以使用封存的快照之前,必須先將其還原至標準層。還原的快照具有與封存前其具有的同一快照 ID、加密狀態、IAM 許可、擁有者資訊,以及資源標籤。還原之後,您可以採取您在帳戶中使用任何其他快照的同一方式來使用該快照。還原的快照一律是完整快照。 還原快照時,您可以選擇**永久**或**暫時**還原該快照。 如果您永久還原快照,快照會從封存層永久移至標準層。快照會保持還原狀態並可供使用,直到您手動將其重新封存或手動將其刪除為止。當您永久還原快照時,快照會從封存層移除。 如果您暫時還原快照,快照會在您指定的還原期間從封存層複製到標準層。快照會保持還原狀態,並且只能在還原期間使用。在還原期間,快照複本會保留在封存層中。該期間到期之後,快照會自動從標準層移除。您可以在還原期間隨時增加或減少還原期間,或將還原類型變更為永久。如需詳細資訊,請參閱[修改暫時還原 Amazon EBS 快照的還原期間](modify-temp-restore-period.md)。 如果您要還原與已停用 AMI 相關聯的快照,並且打算使用該 AMI,您必須先**永久還原**所有相關聯的快照,然後[重新啟用已停用的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html#re-enable-a-disabled-ami),才能使用它。如果暫時還原相關聯的快照,則無法啟用 AMI。可以使用下列命令來尋找與 AMI 相關聯的所有快照。 ``` aws ec2 describe-images --image-id ami_id \ --query Images[*].BlockDeviceMappings[*].Ebs[].SnapshotId[] ``` ------ #### [ Console ] **從封存中還原快照** 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 在快照清單中,選取要還原的已封存快照,然後選取 **Actions** (動作)、**Restore snapshot from archive** (從封存中還原快照)。 1. 指定要執行的還原類型。針對 **Restore type** (還原類型),執行下列其中一項操作: + 若要永久還原快照,請選取 **Permanent** (永久)。 + 若要暫時還原快照,請選取 **Temporary** (暫時),然後針對 **Temporary restore period** (暫時還原期間),輸入要還原快照的天數。 1. 若要確認,請選擇 **Restore snapshot** (還原快照)。 ------ #### [ AWS CLI ] **永久還原封存的快照** 使用 [ restore-snapshot-tier](https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-snapshot-tier.html) AWS CLI 命令搭配 `--permanent-restore`選項。對於 `--snapshot-id`,指定要還原的快照 ID。 ``` aws ec2 restore-snapshot-tier \ --snapshot-id snap-0abcdef1234567890 \ --permanent-restore ``` 以下為範例輸出。 ``` { "SnapshotId": "snap-0abcdef1234567890", "IsPermanentRestore": true } ``` **暫時還原封存的快照** 使用 [ restore-snapshot-tier](https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-snapshot-tier.html) AWS CLI 命令。省略 `--permanent-restore` 選項。針對 `--temporary-restore-days`,指定要還原快照的天數。允許的範圍為 1 到 180 天。如果您未指定值,則預設值為 1 天。 下列範例會暫時還原指定的快照 5 天。 ``` aws ec2 restore-snapshot-tier \ --snapshot-id snap-0abcdef1234567890 \ --temporary-restore-days 5 ``` 以下為範例輸出。 ``` { "SnapshotId": "snap-0abcdef1234567890", "RestoreDuration": 5, "IsPermanentRestore": false } ``` ------ #### [ PowerShell ] **永久還原封存的快照** 使用 [Restore-EC2SnapshotTier](https://docs.aws.amazon.com/powershell/latest/reference/items/Restore-EC2SnapshotTier.html) cmdlet。 ``` Restore-EC2SnapshotTier ` -SnapshotId snap-0abcdef1234567890 ` -PermanentRestore $true ``` **暫時還原封存的快照** 使用 [Restore-EC2SnapshotTier](https://docs.aws.amazon.com/powershell/latest/reference/items/Restore-EC2SnapshotTier.html) cmdlet。 ``` Restore-EC2SnapshotTier ` -SnapshotId snap-0abcdef1234567890 ` -TemporaryRestoreDays 5 ``` ------ # 修改暫時還原 Amazon EBS 快照的還原期間 暫時還原快照時,您必須指定快照要在帳戶中保留還原狀態的天數。還原期間到期之後,快照會自動從標準層移除。 您可以隨時變更暫時還原快照的還原期間。 您可以選擇增加或減少還原期間,也可以將還原類型從暫時變更為永久。 如果您變更還原期間,新的還原期間會從目前的日期開始生效。例如,如果您將新的還原期間指定為 `5` 天,快照將從目前日期開始保留還原狀態五天。 **注意** 您可以將還原期間設定為 1 天,提早結束暫時還原。 如果您將還原類型從暫時變更為永久,快照複本會從封存層中刪除,而且快照仍可在您的帳戶中使用,直到您手動將其重新封存或將其刪除為止。 ------ #### [ Console ] **修改還原期間或還原類型** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 在快照清單中,選取您先前暫時還原的快照,然後選取 **Actions** (動作)、**Restore snapshot from archive** (從封存中還原快照)。 1. 針對 **Restore type** (還原類型),執行下列其中一項操作: + 若要將還原類型從暫時變更為永久,請選取 **Permanent** (永久)。 + 若要增加或減少還原期間,請保留 **Temporary** (暫時),然後針對 **Temporary restore period** (暫時還原期間),輸入新的還原期間 (以天為單位)。 1. 若要確認,請選擇 **Restore snapshot** (還原快照)。 ------ #### [ AWS CLI ] **修改還原期間或變更還原類型** 使用 [ restore-snapshot-tier](https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-snapshot-tier.html) 命令。對於 `--snapshot-id`,指定先前暫時還原的快照 ID。若要將還原類型從暫時變更為永久,請指定 `--permanent-restore` 並省略 `--temporary-restore-days`。若要增加或減少還原期間,請省略 `--permanent-restore`,並對於 `--temporary-restore-days`,指定新的還原期間 (以天為單位)。 **範例:增加或減少還原期間** 下列命令會將指定快照的還原期間變更為 `10` 天。 ``` aws ec2 restore-snapshot-tier \ --snapshot-id snap-0abcdef1234567890 \ --temporary-restore-days 10 ``` 以下為範例輸出。 ``` { "SnapshotId": "snap-0abcdef1234567890", "RestoreDuration": 10, "IsPermanentRestore": false } ``` **範例:將還原類型變更為永久** 下列命令會將指定快照的還原類型從暫時變更為永久。 ``` aws ec2 restore-snapshot-tier \ --snapshot-id snap-0abcdef1234567890 \ --permanent-restore ``` 以下為範例輸出。 ``` { "SnapshotId": "snap-0abcdef1234567890", "IsPermanentRestore": true } ``` ------ #### [ PowerShell ] **修改還原期間或變更還原類型** 使用 [Restore-EC2SnapshotTier](https://docs.aws.amazon.com/powershell/latest/reference/items/Restore-EC2SnapshotTier.html) cmdlet。對於 `-SnapshotId`,指定先前暫時還原的快照 ID。若要將還原類型從暫時變更為永久,請指定 `-PermanentRestore` 並省略 `-TemporaryRestoreDays`。若要增加或減少還原期間,請省略 `-PermanentRestore`,並對於 `-TemporaryRestoreDays`,指定新的還原期間 (以天為單位)。 **範例:增加或減少還原期間** 下列命令會將指定快照的還原期間變更為 `10` 天。 ``` Restore-EC2SnapshotTier ` -SnapshotId snap-0abcdef1234567890 ` -TemporaryRestoreDays 10 ``` **範例:將還原類型變更為永久** 下列命令會將指定快照的還原類型從暫時變更為永久。 ``` Restore-EC2SnapshotTier ` -SnapshotId snap-0abcdef1234567890 ` -PermanentRestore $true ``` ------ # 檢視封存的 Amazon EBS 快照 ------ #### [ Console ] **檢視快照的儲存層資訊** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 在快照清單中,選取快照並選取 **Storage tier** (儲存層) 索引標籤。 索引標籤提供下列資訊: + **Last tier change started on** (上次啟動層變更的時間) – 上次啟動封存或還原的日期和時間。 + **Tier change progress** (層變更進度) – 上次封存或復原動作的進度 (以百分比表示)。 + **Storage tier** (儲存層) – 快照的儲存層。`archive` 一律用於封存的快照,而 `standard` 一律用於存放在標準層的快照,包括暫時還原的快照。 + **Tiering status** (分層狀態) – 上次封存或還原動作的狀態。 + **Archive completed on** (封存完成時間) – 完成封存的日期和時間。 + **Temporary restore expires on** (暫時還原到期時間) – 暫時還原快照設定為到期的日期和時間。 ------ #### [ AWS CLI ] **檢視有關已封存快照的封存資訊** 使用 [ describe-snapshot-tier-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshot-tier-status.html) 命令。指定 `snapshot-id` 篩選條件,並針對篩選條件值,指定快照 ID。或者,若要檢視所有封存的快照,請省略篩選條件。 ``` --filters "Name=snapshot-id, Values=snapshot_id" ``` 輸出包括下列回應參數: + `Status` – 快照的狀態。`completed` 一律用於封存的快照。只能封存處於 `completed` 狀態的快照。 + `LastTieringStartTime` – 啟動封存程序的日期和時間,以 UTC 時間格式 (YYYY-MM-DDTHH:MM:SSZ) 表示。 + `LastTieringOperationState` – 封存程序的目前狀態。可能的狀態包括:`archival-in-progress` \$1 `archival-completed` \$1 `archival-failed` \$1 `permanent-restore-in-progress` \$1 `permanent-restore-completed` \$1 `permanent-restore-failed` \$1 `temporary-restore-in-progress` \$1 `temporary-restore-completed` \$1 `temporary-restore-failed` + `LastTieringProgress` – 快照封存程序的進度 (以百分比表示)。 + `StorageTier` – 快照的儲存層。`archive` 一律用於封存的快照,而 `standard` 一律用於存放在標準層的快照,包括暫時還原的快照。 + `ArchivalCompleteTime` – 完成封存程序的日期和時間,以 UTC 時間格式 (YYYY-MM-DDTHH:MM:SSZ) 表示。 **範例:描述快照** 下列範例顯示指定快照的相關資訊。 ``` aws ec2 describe-snapshot-tier-status \ --filters "Name=snapshot-id, Values=snap-0abcdef1234567890" ``` 以下為範例輸出。 ``` { "SnapshotTierStatuses": [ { "Status": "completed", "ArchivalCompleteTime": "2021-09-15T17:33:16.147Z", "LastTieringProgress": 100, "Tags": [], "VolumeId": "vol-01234567890abcdef", "LastTieringOperationState": "archival-completed", "StorageTier": "archive", "OwnerId": "123456789012", "SnapshotId": "snap-0abcdef1234567890", "LastTieringStartTime": "2021-09-15T16:44:37.574Z" } ] } ``` **檢視封存和標準層快照** 使用 [describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令。針對 `--snapshot-ids`,指定快照的 ID。 ``` aws ec2 describe-snapshots --snapshot-ids snap-0abcdef1234567890 ``` 以下為範例輸出。`StorageTier` 回應參數會指出快照目前是否已封存。`archive` 指出快照目前已封存,並存放在封存層中,而 `standard` 指出快照目前未封存,且存放在標準層中。 在下列範例輸出中,只封存 `Snap A`,未封存 `Snap B` 和 `Snap C`。 此外,只會針對暫時從封存還原的快照傳回 `RestoreExpiryTime` 回應參數。它會指出暫時還原的快照何時從標準層中自動移除。對於永久還原的快照,**不**會傳回它。 在下列範例輸出中,會暫時還原 `Snap C`,而且會在 2021-09-19T21:00:00.000Z (2021 年 9 月 19 日 21:00 UTC) 自動從標準層中將其移除。 ``` { "Snapshots": [ { "Description": "Snap A", "Encrypted": false, "VolumeId": "vol-01234567890aaaaaa", "State": "completed", "VolumeSize": 8, "StartTime": "2021-09-07T21:00:00.000Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-01234567890aaaaaa", "StorageTier": "archive", "Tags": [] }, { "Description": "Snap B", "Encrypted": false, "VolumeId": "vol-09876543210bbbbbb", "State": "completed", "VolumeSize": 10, "StartTime": "2021-09-14T21:00:00.000Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-09876543210bbbbbb", "StorageTier": "standard", "RestoreExpiryTime": "2019-09-19T21:00:00.000Z", "Tags": [] }, { "Description": "Snap C", "Encrypted": false, "VolumeId": "vol-054321543210cccccc", "State": "completed", "VolumeSize": 12, "StartTime": "2021-08-01T21:00:00.000Z", "Progress": "100%", "OwnerId": "123456789012", "SnapshotId": "snap-054321543210cccccc", "StorageTier": "standard", "Tags": [] } ] } ``` **僅檢視封存層或標準層中存放的快照** 使用 [describe-snapshots](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) 命令。包含 `--filter`選項,其篩選條件名稱為 `storage-tier`。針對篩選條件值,指定 `archive`或 `standard`。下列範例只會顯示封存的快照。 ``` aws ec2 describe-snapshots --filters "Name=storage-tier,Values=archive" ``` ------ #### [ PowerShell ] **檢視有關已封存快照的封存資訊** 使用 [Get-EC2SnapshotTierStatus](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotTierStatus.html) cmdlet。 ``` Get-EC2SnapshotTierStatus ` -Filter @{Name="snapshot-id"; Values="snap-0abcdef1234567890"} ``` **檢視封存和標準層快照** 使用 [Get-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) cmdlet。 ``` Get-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ``` **僅檢視封存層或標準層中存放的快照** 使用 [Get-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) cmdlet。下列範例只會顯示封存的快照。 ``` Get-EC2Snapshot ` -Filter @{Name="storage-tier"; Values="archive"} ``` ------ # 使用 CloudWatch Events 監控 Amazon EBS 快照封存 Amazon EBS 會發出與快照封存動作相關的事件。您可以使用 AWS Lambda 和 Amazon CloudWatch Events 以程式設計方式處理事件通知。盡可能發出事件。如需詳細資訊,請參閱[「Amazon EventBridge 使用者指南」](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。 可用的事件如下: + `archiveSnapshot` – 快照封存動作成功或失敗時發出。 下列是快照封存動作成功時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "archiveSnapshot", "result": "succeeded", "cause": "", "request-id": "123456789", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } ``` 下列是快照封存動作失敗時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "archiveSnapshot", "result": "failed", "cause": "Source snapshot ID is not valid", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } } ``` + `permanentRestoreSnapshot` – 永久還原動作成功或失敗時發出。 下列是永久還原動作成功時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "permanentRestoreSnapshot", "result": "succeeded", "cause": "", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-10-45T15:30:00Z" } } ``` 下列是永久還原動作失敗時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "permanentRestoreSnapshot", "result": "failed", "cause": "Source snapshot ID is not valid", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } } ``` + `temporaryRestoreSnapshot` – 暫時還原動作成功或失敗時發出。 下列是暫時還原動作成功時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "temporaryRestoreSnapshot", "result": "succeeded", "cause": "", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "restoreExpiryTime": "2021-06-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } } ``` 下列是暫時還原動作失敗時發出的事件範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "temporaryRestoreSnapshot", "result": "failed", "cause": "Source snapshot ID is not valid", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } } ``` + `restoreExpiry` – 暫時還原快照的還原期間到期時發出。 下列是 範例。 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "123456789012", "time": "2021-05-25T13:12:22Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef" ], "detail": { "event": "restoryExpiry", "result": "succeeded", "cause": "", "request-id": "1234567890", "snapshot_id": "arn:aws:ec2:us-east-1::snapshot/snap-01234567890abcdef", "startTime": "2021-05-25T13:12:22Z", "endTime": "2021-05-45T15:30:00Z", "recycleBinExitTime": "2021-10-45T15:30:00Z" } } ``` # 刪除一個 Amazon EBS 快照。 當您不再需要磁碟區的 Amazon EBS 快照後,即可將它刪除。刪除快照不會影響該磁碟區。刪除磁碟區也不會影響從該磁碟區取得的快照。 **Topics** + [刪除快照的考量事項](#ebs-delete-snapshot-considerations) + [刪除增量快照的運作方式](#ebs-deleting-snapshot-incremental) + [刪除快照](#ebs-delete-snapshot) + [刪除多磁碟區快照](#ebs-delete-snapshot-multi-volume) ## 刪除快照的考量事項 刪除快照時有下列考量: + 對於已註冊 AMI 使用的 EBS 磁碟區,您無法刪除其中根設備的快照。即使已棄用或停用已註冊的 AMI,也適用此考量事項。您必須先取消註冊該 AMI,之後才能刪除該快照。如需詳細資訊,請參閱[取消註冊您的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/deregister-ami.html)。 + 您無法刪除由 AWS Backup 服務使用 Amazon EC2 管理的快照。反之,請使用 AWS Backup 刪除備份文件庫中對應的復原點。若要了解詳細資訊,請參閱 *AWS Backup 開發人員指南中的*[刪除備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)。 + 您可以手動建立、保留和刪除快照,或者您也可以使用 Amazon Data Lifecycle Manager 來為您管理快照。如需詳細資訊,請參閱 [Amazon Data Lifecycle Manager](snapshot-lifecycle.md)。 + 雖然您能夠刪除進行中的快照,但必須等到該快照完成後,刪除操作才會生效。這可能需要很長的時間。若處於並行快照上限同時嘗試取得另一個快照,則可能會出現 `ConcurrentSnapshotLimitExceeded` 錯誤。如需詳細資訊,請參閱《》中的 Amazon EBS 的 [ Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)*Amazon Web Services 一般參考*。 + 如果您刪除符合資源回收筒保留規則的快照,快照會保留在資源回收筒中,而不是立即刪除。如需詳細資訊,請參閱[資源回收筒](recycle-bin.md)。 + 您無法刪除與已停用的 EBS 後端 AMI 相關聯的快照。如需詳細資訊,請參閱[停用 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/disable-an-ami.html)。 + 您無法刪除與您共用的快照。 + 如果您刪除您擁有的共用快照,則共用快照的所有帳戶都會失去其存取權。 ## 刪除增量快照的運作方式 如果您建立磁碟區的定期快照,則快照為*遞增*。這表示只有在您最近一次執行裝置快照之後發生變更的區塊會儲存至新的快照。雖然快照是遞增儲存,但快照刪除程序的設計方式,可讓您只需要保存最新快照,就能建立磁碟區。 若資料曾存在於磁碟區中、包含在較早的一份或一序列快照中的資料,即使該資料隨後遭從磁碟區中刪除,該資料仍被視為是較早快照的唯一資料。若參考唯一資料的所有快照都遭到刪除,才會從快照序列中刪除此唯一資料。 移除快照時,僅會移除只由該快照參考的資料。只有在所有參考該資料的快照都刪除時,才會刪除唯一資料。刪除磁碟區之前的快照,您仍能夠從該磁碟區之後的快照建立磁碟區。 刪除快照可能不會降低您組織的資料儲存成本。其他快照可能會參考該快照的資料,被參考資料一律予以保留。若您刪除的快照內含之後快照所用的資料,與參考資料相關的成本將配置到之後的快照。如需有關快照如何存放資料的詳細資訊,請參閱[Amazon EBS 快照的運作方式](how_snapshots_work.md)及下列範例。 下圖顯示三個時間點的 Volume 1 (磁碟區 1)。前兩個狀態各自擷取一個快照,第三個狀態則刪除一個快照。 + 在**狀態 1** 中,磁碟區有 10 GiB 的資料。由於 Snap A (快照 A) 為此磁碟區取得的第一個快照,因此必須複製整個 10 GiB 的資料。在此狀態下,您需要支付儲存 10 GiB 快照資料的費用。 + 在**狀態 2** 中,磁碟區仍包含 10 GiB 的資料,但 4 GiB 已變更。Snap B 只會存放取得 Snap A 後變更的 4 GiB,並參考 6 GiB 已存放在 Snap A 中的未變更資料。在此狀態下,您需要支付儲存 14 GiB 快照資料的費用 (10 Gib 來自 Snap A \$1 4 GiB 來自 Snap B)。 + 在**狀態 3** 中,磁碟區保持不變,但快照 A 已刪除。由於 Snap B 仍參考 Snap A 中 6 GiB 不變的資料,該資料會保留並與 Snap B 相關聯。由於其他快照不再參考 Snap A 中的 4 GiB 唯一資料,因此會將其刪除。在此狀態下,您需要支付儲存 10 GiB 快照資料的費用 (從 Snap A 保留 6 GiB 的資料 \$1 快照 B 中保留 4 GiB 的資料)。 **刪除一個快照,且另一個快照參考其中的部分資料** ![\[Snap A (快照 A) 內含 6 GiB 的參考資料。刪除 Snap A (快照 A) 時,該資料會合併至 Snap B (快照 B)。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot_1b.png) ## 刪除快照 ------ #### [ Console ] **刪除快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取快照。 1. 選擇 **Actions** (動作)、**Delete snapshot** (刪除快照)。 1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。 ------ #### [ AWS CLI ] **刪除快照** 使用 [delete-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-snapshot.html) 命令。 ``` aws ec2 delete-snapshot --snapshot-id snap-0abcdef1234567890 ``` ------ #### [ PowerShell ] **刪除快照** 使用 [Remove-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Snapshot.html) cmdlet。 ``` Remove-EC2Snapshot -SnapshotId snap-0abcdef1234567890 ``` ------ **疑難排解秘訣** 如果您收到`Failed to delete snapshot`錯誤,指出 AMI 目前正在使用快照,您必須先[取消註冊相關聯的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/deregister-ami.html),才能刪除快照。不可刪除與 AMI 相關聯的快照。 如果正在使用主控台且關聯的 AMI 已停用,則必須在 **AMI** 畫面上選取**已停用的映像**篩選條件,才能檢視已停用的 AMI。 ## 刪除多磁碟區快照 若要刪除多磁碟區快照,請使用您建立快照時套用到多磁碟區快照集的標籤,擷取該快照集的所有快照。然後,個別地刪除快照。 系統不會阻止您刪除多磁碟區快照集中的個別快照。如果您刪除的快照處於 `pending state` 的狀態,則只會刪除該快照。多磁碟區快照集中的其他快照仍會順利完成。 # Amazon EBS 快速快照還原 Amazon EBS 快速快照還原可讓您從建立時就完整初始化的快照建立磁碟區。這可消除第一次存取區塊時,區塊上 I/O 作業的延遲。使用快速快照還原所建立的磁碟區可立即提供所有已佈建的效能。 若要開始使用,請在特定可用區域中針對特定快照啟用快速快照還原。每個快照和可用區域配對都是指一次快速快照還原。當您從其中一個已啟用可用區域中的其中一個快照建立磁碟區時,會使用快速快照還原來還原磁碟區。 您必須為每個快照明確啟用快速快照還原。例如,如果您從啟用快速快照還原的快照還原的磁碟區建立新的快照,則不會自動啟用新的快照以進行快速快照還原。如果您複製已啟用快速快照還原的快照,則不會自動啟用快照複本以進行快速快照還原。 可藉助快速快照還原完整效能優點還原的磁碟區數量,是由快照的磁碟區建立額度決定。如需詳細資訊,請參閱 [Amazon EBS 快速快照還原磁碟區建立點數](volume-creation-credits.md)。 您可以針對您擁有的快照,以及針對與您共享之公有和私有快照啟用快速快照還原。 **Topics** + [考量事項](#fsr-considerations) + [定價和帳單](#fsr-pricing) + [Amazon EBS 快速快照還原磁碟區建立點數](volume-creation-credits.md) + [設定 Amazon EBS 快照的快速快照還原](manage-fsr-enable.md) + [檢查 Amazon EBS 快照的快速快照還原狀態](view-fsr-enabled-snapshots.md) + [檢視使用快速快照還原還原的 Amazon EBS 磁碟區](view-fast-restored-volumes.md) ## 考量事項 + AWS Outposts、本機區域和 Wavelength 區域不支援快速快照還原。 + 您可以在大小不超過 16 TiB 的快照上啟用快速快照還原。 + 佈建效能高達 64,000 IOPS 和 1,000 MiB/s 輸送量的磁碟區可以獲得快速快照還原的完整效能優勢。針對佈建效能超過 64,000 IOPS 或 1,000 MiB/s 輸送量的磁碟區,我們建議您[初始化磁碟區](initalize-volume.md#ebs-initialize)以獲得其完整效能。 + 您最多可以在每個區域啟用 5 個快照,以用於快速快照還原。此配額適用於您擁有的快照,以及與您共享的快照。如果您針對與您共享的快照啟用快速快照還原,它會計入快速快照還原配額。它不會計入快照擁有者的快速快照還原配額。 + 當快照的快速快照還原狀態變更時,Amazon EBS 會發出 Amazon CloudWatch 事件。如需更多詳細資訊,請參閱 [EBS 快速快照還原事件](ebs-cloud-watch-events.md#fast-snapshot-restore-events)。 ## 定價和帳單 若已針對特定可用區域中的快照啟用快速快照還原,系統則會按每分鐘計費。費用會按最低一小時的比例分配。 例如,若您針對 `US-East-1a` 中的某個快照啟用一個月 (30 天) 的快速快照還原,則您需支付 **\$1540** (`1` 個快照 x `1` 個可用區域 x `720` 小時 x `$0.75`/小時)。如果您針對 `us-east-1a`、`us-east-1b` 和 `us-east-1c` 中的兩個快照啟用同一期間的快速快照還原,您則須支付 **\$13240** (`2` 個快照 x `3` 個可用區域 x `720` 時數 x `$0.75`/小時)。 如果您針對與您共享的公有或私有快照啟用快速快照還原,系統則會向您的帳戶收費;系統不會向快照擁有者收費。當快照擁有者將與您共享的快照刪除或取消共享時,系統則會針對您帳戶中的快照停用快速快照還原,而且會停止計費。 如需詳細資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。 # Amazon EBS 快速快照還原磁碟區建立點數 可獲得快速快照還原完整效能優點的磁碟區數量,是由快照的磁碟區建立額度決定。每一可用區域每一快照會有一個額度儲存貯體。從快照建立、啟用快速快照還原的每個磁碟區會耗用額度儲存貯體的一個額度。您必須在儲存貯體中至少有一個點數,才能從快照建立初始化磁碟區。若是建立磁碟區,但儲存貯體中的額度少於一個,則建立的磁碟區將不具備快速快照還原的優勢。 當您針對與您共享的快照啟用快速快照還原,您會取得您帳戶中共享之快照的個別額度儲存貯體。如果您從共享的快照建立磁碟區,會從額度儲存貯體中耗用這些額度;不會從快照擁有者的額度儲存貯體中耗用這些額度。 點數儲存貯體大小和重新填充率是根據快照的大小 (也是來源磁碟區的大小),而不是快照資料的大小。例如,如果您從具有 150 GiB 資料的 200 GiB 磁碟區建立快照,並啟用它以進行快速快照還原,則點數儲存貯體大小和重新填充速率是以 200 GiB 為基礎。 當您為快照啟用快照還原時,額度儲存貯體將以零額度開始,並以設定的速率填滿,直到達到其最大額度容量為止。此外,在您消耗額度時,額度儲存貯體會隨著時間重新填滿,直至達到其最大額度容量。 額度儲存貯體的填滿率的計算方式如下所示: ``` MIN (10, (1024 ÷ snapshot_size_gib)) ``` 額度儲存貯體大小的計算方式如下所示: ``` MAX (1, MIN (10, (1024 ÷ snapshot_size_gib))) ``` **例如**,如果您針對快照啟用快照還原,其大小為 `128 GiB`,則填滿率為每分鐘 `0.1333` 額度。 ``` MIN (10, (1024 ÷ 128)) = MIN (10, 8) = 8 credits per hour = 0.1333 credits per minute ``` 額度儲存貯體的大小上限為 `8` 額度。 ``` MAX (1, MIN (10, (1024 ÷ 128))) = MAX (1, MIN (10, 8)) = MAX (1, 8) = 8 credits ``` 在此範例中,當您啟用快速快照還原時,額度儲存貯體將以零額度開始。8 分鐘後,額度儲存貯體就有足夠的額度來建立一個初始化的磁碟區 (`0.1333 credits × 8 minutes = 1.066 credits`)。當額度儲存貯體已滿時,您可以同時建立 8 個初始化的磁碟區 (8 個額度)。當此儲存貯體低於其最大容量時,它會使用每分鐘 `0.1333` 額度重新填滿。 您可以使用 CloudWatch 指標來監控點數儲存貯體的大小,以及每個儲存貯體中可用的點數數量。如需詳細資訊,請參閱 [快速快照還原的指標](using_cloudwatch_ebs.md#fast-snapshot-restore-metrics)。 在您從已啟用快速快照還原的快照建立磁碟區之後,您可以使用 [describe-volumes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-volumes.html) 來說明磁碟區,並且檢查輸出中的 `fastRestored` 欄位,判斷磁碟區是否已使用快速快照還原建立為初始化磁碟區。 # 設定 Amazon EBS 快照的快速快照還原 根據預設,會停用快照的快速快照還原。您可以針對您擁有的快照,以及針對與您共享的快照,啟用或停用快速快照還原。當您針對某個快照啟用或停用快速快照還原,變更只會套用到您的帳戶。 **注意** 當您針對某個快照啟用快速快照還原,系統則會針對已在特定可用區域中啟用快速快照還原的每分鐘向您的帳戶收費。費用會按最低一小時的比例分配。 當您刪除您擁有的快照時,則會自動針對您帳戶中的該快照停用快速快照還原。如果您已針對與您共享的快照啟用快速快照還原,且該快照擁有者將其刪除或取消共享,則會自動針對您帳戶中的共享快照停用快速快照還原。 如果您已針對與您共用的快照啟用快速快照還原,且該快照已使用自訂 CMK 進行加密,則在快照擁有者撤銷您對自訂 CMK 的存取權時,不會自動針對該快照停用快速快照還原。您必須手動針對該快照停用快速快照還原。 啟用快照的快速還原後,快照會變為 `optimizing` 狀態。`optimizing` 狀態的快照會在用於還原磁碟區時提供一些效能優勢。快照只有在變為 `enabled` 狀態後,才開始提供快速快照還原的完整效能優勢。 ------ #### [ Console ] **設定快速快照還原** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots** (快照)。 1. 選取快照,並選取 **Actions** (動作)、**Manage fast snapshot restore** (管理快速快照還原)。 1. **快速快照還原設定**區段會列出所有可用區域,您可以在其中針對所選快照啟用快速快照還原。**Current status** (目前狀態) 磁碟區會指出每個區域的快速快照還原目前是已啟用還是已停用。 若要在目前已停用快速快照還原的區域中將其啟用,請選取區域、選取 **Enable** (啟用),然後若要確認,請選取 **Enable** (啟用)。 若要在目前已啟用快速快照還原的區域中將其停用,請選取區域,然後選取 **Disable** (停用)。 1. 進行了必要的變更後,請選擇 **Close** (關閉)。 ------ #### [ AWS CLI ] **啟用快速快照還原** 使用 [enable-fast-snapshot-restores](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-fast-snapshot-restores.html) 命令。 ``` aws ec2 enable-fast-snapshot-restores \ --availability-zones us-east-1a us-east-1b \ --source-snapshot-ids snap-0abcdef1234567890 ``` **停用快速快照還原** 使用 [disable-fast-snapshot-restores](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-fast-snapshot-restores.html) 命令。 ``` aws ec2 disable-fast-snapshot-restores \ --availability-zones us-east-1a \ --source-snapshot-ids snap-0abcdef1234567890 ``` 下列範例使用 [describe-fast-snapshot-restores](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-fast-snapshot-restores.html) 命令來描述已停用的快速快照還原。 ``` aws ec2 describe-fast-snapshot-restores \ --filters Name=state,Values=disabled ``` ------ #### [ PowerShell ] **啟用快速快照還原** 使用 [Enable-EC2FastSnapshotRestore](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2FastSnapshotRestore.html) cmdlet。 ``` Enable-EC2FastSnapshotRestore ` -AvailabilityZone us-east-1a us-east-1b ` -SourceSnapshotId snap-0abcdef1234567890 ``` **停用快速快照還原** 使用 [Disable-EC2FastSnapshotRestore](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2FastSnapshotRestore.html) cmdlet。 ``` Disable-EC2FastSnapshotRestore ` -AvailabilityZone us-east-1a ` -SourceSnapshotId snap-0abcdef1234567890 ``` 下列範例使用 [Get-EC2FastSnapshotRestore](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FastSnapshotRestore.html) cmdlet 來描述已停用的快速快照還原。 ``` Get-EC2FastSnapshotRestore ` -Filter @{Name="state"; Values="disabled"} ``` ------ # 檢查 Amazon EBS 快照的快速快照還原狀態 快照的快速快照還原可以處於下列其中一個狀態。 + `enabling` – 已進行請求以啟用快速快照還原。 + `optimizing` – 正在啟用快速快照還原。要將快照最佳化,每個 TiB 需要 60 分鐘。此狀態的快照能在還原磁碟區時提供一些效能優勢。 + `enabled` – 快速快照還原已啟用。處於此狀態且具有足夠磁碟區建立點數的快照能在還原磁碟區時提供完整效能優勢。 + `disabling` – 已請求停用快速快照還原或啟用快速快照還原的請求已失敗。 + `disabled` – 快速快照還原已停用。您可以視需要再次啟用快速快照還原。 您可以檢視您擁有的快照或與您共用的快照的快速快照還原狀態。 ------ #### [ Console ] **檢視快速快照還原的狀態** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取快照。 1. 在 **Description** (描述) 索引標籤上,**Fast Snapshot Restore** (快速快照還原) 指出快速快照還原的狀態。 ------ #### [ AWS CLI ] **檢視已啟用快速快照還原的快照** 使用 [describe-fast-snapshot-restores](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-fast-snapshot-restores.html) 命令。 ``` aws ec2 describe-fast-snapshot-restores --filters Name=state,Values=enabled ``` 以下為範例輸出。 ``` { "FastSnapshotRestores": [ { "SnapshotId": "snap-0e946653493cb0447", "AvailabilityZone": "us-east-2a", "State": "enabled", "StateTransitionReason": "Client.UserInitiated - Lifecycle state transition", "OwnerId": "123456789012", "EnablingTime": "2020-01-25T23:57:49.596Z", "OptimizingTime": "2020-01-25T23:58:25.573Z", "EnabledTime": "2020-01-25T23:59:29.852Z" }, { "SnapshotId": "snap-0e946653493cb0447", "AvailabilityZone": "us-east-2b", "State": "enabled", "StateTransitionReason": "Client.UserInitiated - Lifecycle state transition", "OwnerId": "123456789012", "EnablingTime": "2020-01-25T23:57:49.596Z", "OptimizingTime": "2020-01-25T23:58:25.573Z", "EnabledTime": "2020-01-25T23:59:29.852Z" } ] } ``` ------ #### [ PowerShell ] **檢視已啟用快速快照還原的快照** 使用 [Get-EC2FastSnapshotRestore](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FastSnapshotRestore.html) cmdlet。 ``` Get-EC2FastSnapshotRestore ` -Filter @{Name="state"; Values="enabled"} ``` ------ # 檢視使用快速快照還原還原的 Amazon EBS 磁碟區 當您在磁碟區的可用區域中從已啟用快速快照還原的快照建立磁碟區時,其會使用快速快照還原進行還原。 ------ #### [ AWS CLI ] **檢視從已啟用快速快照還原的快照建立的磁碟區** 使用 [describe-volumes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-volumes.html) 命令。 ``` aws ec2 describe-volumes --filters Name=fast-restored,Values=true ``` 以下為範例輸出。 ``` { "Volumes": [ { "Attachments": [], "AvailabilityZone": "us-east-2a", "CreateTime": "2020-01-26T00:34:11.093Z", "Encrypted": true, "KmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/8c5b2c63-b9bc-45a3-a87a-5513e232e843", "Size": 20, "SnapshotId": "snap-0abcdef1234567890", "State": "available", "VolumeId": "vol-01234567890abcdef", "Iops": 100, "VolumeType": "gp2", "FastRestored": true } ] } ``` ------ #### [ PowerShell ] **檢視從已啟用快速快照還原的快照建立的磁碟區** 使用 [Get-EC2Volume](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Volume.html) cmdlet。 ``` Get-EC2Volume -Filter @{Name="fast-restored"; Values="true"} ``` ------ # Amazon EBS 快照鎖定 您可以鎖定 Amazon EBS 快照以防止意外或惡意刪除,或在特定期間以 WORM (一次寫入多次讀取) 格式存放。當快照處於鎖定,不論使用者 IAM 許可為何,都無法刪除快照。您可以依照原來使用其他快照的方式繼續使用鎖定的快照。 **注意** 快照鎖定已被 Cohasset Associates 評估,可用於符合 SEC 17a-4、CFTC 和 FINRA 法規的環境。如需快照鎖定與上述法規有何相關性的詳細資訊,請參閱 [Cohasset Associates Compliance Assessment (Cohasset Associates 法規遵循評估)](https://d1.awsstatic.com/Amazon-EBS-Cohasset-Assessment-2023-11-14-final.pdf)。 您可以使用以下兩種模式之一鎖定快照:*合規模式*或*控管模式*,且可在特定期間或特定日期之前鎖定快照。如需詳細資訊,請參閱[鎖定模式](snapshot-lock-concepts.md#lock-mode)及[鎖定期間](snapshot-lock-concepts.md#lock-duration)。 **定價** 您可以鎖定和解鎖快照,無需支付額外成本。您需為鎖定的快照支付標準 Amazon EBS 快照儲存費用。 **Topics** + [概念](snapshot-lock-concepts.md) + [考量事項](snapshot-lock-considerations.md) + [控制存取](snapshot-lock-iam.md) + [鎖定快照](lock-snapshot.md) + [解鎖快照](unlock-snapshot.md) + [更新快照鎖定設定](update-snapshot-lock.md) + [監控快照鎖定](monitor-snapshot-lock.md) # Amazon EBS 快照鎖定概念 以下是在您開始使用快照鎖定時需要了解的重要概念。 **Contents** + [鎖定模式](#lock-mode) + [鎖定期間](#lock-duration) + [冷靜期](#cool-off) + [鎖定狀態](#lock-state) ## 鎖定模式 您可以使用以下兩種模式的其中一種鎖定快照: **控管模式** 快照鎖定後,擁有適當 IAM 許可的使用者可以隨時解鎖快照,也可修改鎖定模式以及鎖定期間或到期日。以控管模式鎖定快照時,快照會立即鎖定,沒有冷靜期。若要刪除以控管模式鎖定的快照,必須先將快照解除鎖定,或是等待鎖定到期。 使用控管模式,您可以確保只有特定使用者有權解鎖快照和修改快照鎖定組態,藉此滿足組織的資料控管需求。您也可以使用控管模式來在鎖定快照之前測試鎖定組態。 **合規模式** 以合規模式鎖定快照時,您可以選擇性指定要在鎖定快照後立即開始的冷靜期。在冷靜期中,擁有適當許可的使用者可以解鎖快照、變更鎖定模式、延長或縮短冷靜期、延長或縮短鎖定期間,以及延後或提前到期日。冷靜期過期後,就無法解鎖快照、變更鎖定模式、縮短鎖定期間或提前到期日;只能延長鎖定期間或延後到期日。以合規模式鎖定快照且冷靜期到期後若要刪除快照,您必須等待鎖定到期。 **注意** 您可以省略請求中的冷靜期,以合規模式鎖定快照而沒有冷靜期。如果這樣做,鎖定會立即生效,而且您無法解鎖快照、變更鎖定模式、縮短鎖定期間或提前到期日;只能延長鎖定期間或延後到期日。 您可以使用合規模式來保護因合規原因不應在特定期間內刪除的快照。合規模式具有下列優點: + 可為快照啟用 WORM (一次寫入多次讀取)組態。 + 提供額外一層保護,避免快照遭意外或惡意刪除。 + 強制執行保留期限,可防止有權限的使用者提前刪除,以符合組織的資料保護政策和程序。 **注意** 在鎖定到期之前,刪除以合規模式鎖定的快照的唯一方法是關閉相關聯的 AWS 帳戶。 ## 鎖定期間 鎖定期間是指快照保持鎖定狀態的期間。您可透過下列其中一種形式指定鎖定期間,但不能同時指定兩者: **天數** 以快照要維持鎖定狀態的天數指定鎖定期間。經過指定的天數後,快照會自動解除鎖定。鎖定期間範圍為 1 天到 36500 天 (100 年)。 **鎖定到期日** 以未來到期日決定鎖定期間。鎖定到期日之前快照都會保持鎖定狀態。快照會在鎖定到期日自動解除鎖定。 ## 冷靜期 冷靜期是您以合規模式鎖定快照時可以指定的選用期間。在冷靜期中,擁有適當許可的使用者可以解鎖快照、變更鎖定模式、延長或縮短冷靜期以及延長或縮短鎖定期間。在冷靜期過期之後,使用者無論擁有何種許可,都無法解鎖快照、變更鎖定模式、恢復冷靜期或縮短鎖定期間。 在冷靜期中無法刪除快照。 如果有指定,冷靜期會在您鎖定快照後立即開始。如果省略,快照會立即以合規模式鎖定,而不會有冷靜期。 冷靜期範圍為 1 到 72 小時。若要以合規模式鎖定快照而沒有冷靜期,請勿在請求中指定冷靜期。 ## 鎖定狀態 快照鎖定可為下列任一種狀態: + `compliance-cooloff`:快照已經以合規模式鎖定,但仍在冷靜期內。快照無法刪除,但可以解除鎖定,且擁有適當許可的使用者可以修改鎖定設定。 + `governance`:快照已經以控管模式鎖定。快照無法刪除,但可以解除鎖定,且擁有適當許可的使用者可以修改鎖定設定。 + `compliance`:快照以合規模式鎖定,沒有冷靜期或冷靜期已過期。快照無法解除鎖定或刪除。只有擁有適當許可的使用者才能延長鎖定期間。 + `expired`:快照已經以合規或控管模式鎖定,但鎖定已過期。快照未鎖定且可刪除。 # Amazon EBS 快照鎖定的考量事項 鎖定 Amazon EBS 快照時,請記住下列事項。 + 您只能鎖定處於 `pending` 或 `completed` 狀態的快照。 + 如果您在快照處於 `pending` 狀態時,將快照鎖定一段特定期間,則只有在快照達到 `completed` 狀態時,鎖定期間才會開始。快照處於 `pending` 狀態時無法刪除。 + 如果您鎖定處於 `pending` 狀態的快照,且快照建立因任何原因而失敗,則會取消鎖定。 + 如果您在冷靜期到期後,為以合規模式鎖定的快照延長鎖定期間,則無法指定其他冷靜期。如果您指定冷靜期,請求就會失敗。 + 您無法鎖定封存的快照。您可以封存鎖定的快照。 + 您可以鎖定與 AMI 相關聯的快照。 + 您可以取消註冊相關聯的快照已鎖定的 AMI。 + 您可以刪除用於加密鎖定快照的 KMS 金鑰。 + 建議您不要鎖定由 建立的快照 AWS Backup。 AWS Backup already 可確保其快照在保留期間到期之前不會遭到刪除。若要為 管理的快照新增額外的安全層 AWS Backup,建議您使用保存 AWS Backup 庫鎖定。如需詳細資訊,請參閱 [AWS Backup 保存庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)。 + 您無法在建立或 AMI 註冊期間鎖定快照。 + 您無法鎖定 AWS Outposts上的本機 Amazon EBS 快照。 + 在鎖定到期之前,刪除以合規模式鎖定的快照的唯一方法是關閉相關聯的 AWS 帳戶。 如果您在鎖定快照時關閉 AWS 帳戶, 會將您的帳戶 AWS 暫停 90 天,讓快照保持不變。如果您未在 90 天內重新開啟帳戶, 會 AWS 刪除您的快照,即使快照已鎖定。 # 控制對 Amazon EBS 快照鎖定的存取 依預設,使用者沒有使用快照鎖定的許可。若要允許使用者使用快照鎖定,必須建立 IAM 政策以授予使用特定資源和 API 動作的許可。如需詳細資訊,請參閱《IAM 使用者指南》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **Topics** + [所需的許可](#snapshot-lock-req-perms) + [使用條件索引鍵限制存取權限](#snapshot-lock-condition-keys) ## 所需的許可 若要使用快照鎖定,使用者需有下列許可。 + `ec2:LockSnapshot`:鎖定快照。 + `ec2:UnlockSnapshot`:解鎖快照。 + `ec2:DescribeLockedSnapshots`:檢視快照鎖定設定。 以下 IAM 政策範例向使用者授予鎖定和解鎖快照,以及檢視快照鎖定設定的許可。其包括主控台使用者的 `ec2:DescribeSnapshots` 許可權限。若無需某些許可,則您可從政策中將其移除。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockOperations", "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:111122223333:volume/*" ] } ] } ``` ------ 若要提供存取權,請新增權限至您的使用者、群組或角色: + 中的使用者和群組 AWS IAM Identity Center: 建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。 + 透過身分提供者在 IAM 中管理的使用者: 建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。 + IAM 使用者: + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。 + (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。 ## 使用條件索引鍵限制存取權限 您可以使用條件索引鍵來限制允許使用者鎖定快照的方式。 **Topics** + [ec2:SnapshotLockDuration](#snapshotlockduration) + [ec2:CoolOffPeriod](#cooloffperiod) ### ec2:SnapshotLockDuration 在鎖定快照時,您可以使用 `ec2:SnapshotLockDuration` 條件索引鍵限制使用者指定特定的鎖定期間。 下列範例政策限制使用者只能指定 `10` 到 `50` 天的鎖定期間。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockWithDurationCondition", "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "NumericGreaterThan": { "ec2:SnapshotLockDuration": 10 }, "NumericLessThan": { "ec2:SnapshotLockDuration": 50 } } } ] } ``` ------ ### ec2:CoolOffPeriod 您可以使用 `ec2:CoolOffPeriod` 條件索引鍵來防止使用者以合規模式鎖定快照,而沒有冷靜期。 下列範例政策限制使用以合規模式鎖定快照時,須指定 `48` 小時以上的冷靜期。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockWithCondition", "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "NumericGreaterThan": { "ec2:SnapshotTime": 48 } } } ] } ``` ------ # 鎖定 Amazon EBS 快照 您可以鎖定處於 `pending` 或 `completed` 狀態的快照。如需詳細資訊,請參閱[Amazon EBS 快照鎖定的考量事項](snapshot-lock-considerations.md)。 ------ #### [ Console ] **鎖定快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取要鎖定的快照並選擇**動作**、**快照設定**、**管理快照鎖定**。 1. 選取**鎖定快照**。 1. 在**鎖定模式**選擇**控管模式**或**合規模式**。如需詳細資訊,請參閱[鎖定模式](snapshot-lock-concepts.md#lock-mode)。 1. 在**鎖定期間**執行下列任一項作業: + 若要將快照鎖定一段特定期間,請選擇**鎖定快照期間**,然後輸入以天或年為單位的期間。 + 若要讓快照保持鎖定直到特定的日期和時間,請選擇**鎖定快照期限**,然後選取到期日和時間。 如需詳細資訊,請參閱[鎖定期間](snapshot-lock-concepts.md#lock-duration)。 1. (*僅限合規模式*) 在**冷靜期**指定冷靜期,這段期間內您可以將快照解除鎖定及修改鎖定組態。如需詳細資訊,請參閱[冷靜期](snapshot-lock-concepts.md#cool-off)。 1. (*僅限合規模式*) 若要確認您要以合規模式鎖定快照,且無法在冷靜期到期後解鎖快照,請選擇**確認**。 1. 選擇**儲存鎖定設定**。 ------ #### [ AWS CLI ] **以控管模式鎖定快照** 使用 [lock-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/lock-snapshot.html) 命令。對於 `--lock-mode`,請指定 `governance`。若要鎖定特定期間的快照,請針對 `--lock-duration`指定期間,以天為單位。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --lock-duration 30 ``` 若要鎖定快照直到特定日期,請在 UTC 時區中`--expiration-date`指定鎖定必須過期的日期和時間。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` **以合規模式鎖定快照** 使用 [lock-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/lock-snapshot.html) 命令。對於 `--lock-mode`,請指定 `compliance`。對於 `--cool-off-period`,選擇性地指定冷卻期間,以小時為單位。若要鎖定特定期間的快照,請針對 `--lock-duration`指定鎖定快照的天數。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode compliance \ --cool-off-period 24 \ --lock-duration 30 ``` 若要鎖定快照直到特定日期,請在 UTC 時區中`--expiration-date`指定鎖定必須過期的日期和時間。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode compliance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` ------ #### [ PowerShell ] **以控管模式鎖定快照** 使用 [Lock-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。您可以選擇指定快照鎖定的持續時間,以天為單位。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "governance" ` -LockDuration 30 ``` 或者,您可以在 UTC 時區鎖定快照,直到特定日期為止。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "governance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` **以合規模式鎖定快照** 使用 [Lock-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。您可以選擇指定冷靜期,以小時為單位。您也可以選擇性地指定快照鎖定的持續時間,以天為單位。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "compliance" ` -CoolOffPeriod 24 ` -LockDuration 30 ``` 或者,您可以在 UTC 時區鎖定快照,直到特定日期為止。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "compliance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` ------ # 解鎖 Amazon EBS 快照 只有當快照已經以控管模式鎖定,或是以合規模式鎖定且仍在冷靜期內,您才能解鎖快照。 ------ #### [ Console ] **解鎖快照** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取要解除鎖定的快照,然後選擇**動作**、**快照設定**、**管理快照鎖定**。 1. 選擇**解鎖快照**,然後再次選擇**解鎖快照**以確認。 ------ #### [ AWS CLI ] **解鎖快照** 使用 [unlock-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/unlock-snapshot.html) 命令。 ``` aws ec2 unlock-snapshot --snapshot-id snap-0abcdef1234567890 ``` ------ #### [ PowerShell ] **解鎖快照** 使用 [Unlock-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Unlock-EC2Snapshot.html) cmdlet。 ``` Unlock-EC2Snapshot -SnapshotId snap-0abcdef1234567890 ``` ------ # 更新 Amazon EBS 快照鎖定設定 允許的更新取決於鎖定狀態: + `governance`:您可以變更鎖定模式,也可延長或縮短鎖定期間,或是延後或提前到期日。 + `compliance-cooloff`:您可以變更鎖定模式、延長或縮短冷靜期,也可延長或縮短鎖定期間,或是延後或提前到期日。 + `compliance`:您只能延長鎖定期間或延後到期日。 ------ #### [ Console ] **更新快照鎖定設定** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Snapshots (快照)**。 1. 選取要修改鎖定設定的快照,然後選擇**動作**、**快照設定**、**管理快照鎖定**。 1. 視需要更新設定,然後選擇**儲存鎖定設定**。 ------ #### [ AWS CLI ] **更新快照鎖定設定** 使用 [lock-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/lock-snapshot.html) 命令。指定快照的 ID 和要修改的選項。下列範例會變更過期日期。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` ------ #### [ PowerShell ] **更新快照鎖定設定** 使用 [Lock-EC2Snapshot](https://docs.aws.amazon.com/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。指定快照的 ID 和要修改的選項。下列範例會變更過期日期。 ``` Lock-EC2Snapshot ` -SnapshoId snap-0abcdef1234567890 ` -LockMode "governance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` ------ # 監控 Amazon EBS 快照鎖定 您可以使用下列工具監控與 Amazon EBS 快照鎖定相關的動作: **Topics** + [使用 CloudTrail 監控](#snapshot-lock-ct) + [使用 EventBridge 監控](#snapshot-lock-ev) ## 使用 監控 Amazon EBS 快照鎖定 AWS CloudTrail 您可以監控快照鎖定的 API 呼叫做為事件,包括來自主控台的呼叫,以及來自對 APIs的程式碼呼叫。您可以利用 CloudTrail 所收集的資訊來判斷發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。 如需詳細資訊,請參閱[使用 記錄 API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html)。 ## 使用 Amazon EventBridge 監控 Amazon EBS 快照鎖定 Amazon EBS 會發出與快照鎖定動作相關的事件。您可以使用 AWS Lambda 和 Amazon EventBridge,以程式設計方式處理事件通知。盡可能發出事件。如需詳細資訊,請參閱[「Amazon EventBridge 使用者指南」](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。 系統會發出下列事件: + 以控管或合規模式成功鎖定快照。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockSnapshot", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "source": 012345678901, "lockState": "compliance-cooloff", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ``` + 快照處於 `pending` 狀態時被鎖定而且無法達到 `completed` 狀態,鎖定事件失敗。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockSnapshot", "result": "failed", "cause": "snapshot failed", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "pending-compliance", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ``` + 鎖定過期 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockDurationExpiry", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "expired", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123 } } ``` + 以合規模式鎖定後冷靜期已到期。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "cooloffperiodExpiry", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "compliance", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ``` # 封鎖 Amazon EBS 快照的公開存取 若要阻止公開共用您的快照,您可以啟用*快照的封鎖公開存取*。針對特定區域啟用快照的封鎖公開存取功能後,只要嘗試在該區域中公開共用快照,都會遭系統自動封鎖。這有助於改善快照的安全性,並防止快照資料遭未經授權或意外存取。 您可以使用下列兩種模式之一啟用快照的封鎖公開存取功能: + **封鎖所有共用**:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。 + **封鎖新共用**:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。 **考量事項** 使用快照的封鎖公開存取時,請記住下列事項。 + 快照的封鎖公開存取功能不會禁止私下共用快照。 + 在封鎖*所有共用*模式中啟用快照的封鎖公開存取,並不會變更已公開共用之快照的許可。而是會禁止這些快照公開顯示和公開存取。因此,雖然這些快照實際上不開放公開使用,但其屬性仍顯示為公開共用。 如果您稍後停用封鎖公開存取或變更模式以*封鎖新的共用*,這些快照將再次公開可用。 + 快照的封鎖公開存取功能是區域設定。在啟用此功能的區域中,所有快照都會套用這項設定。您需在希望禁止公開共用快照的每個區域中,啟用快照的封鎖公開存取功能。 + 封鎖公開存取是帳戶層級設定。此設定會套用到帳戶的所有使用者,包括管理員使用者。您無法在組織層級啟用快照的封鎖公開存取功能。 + 封鎖公開存取設定是直接在帳戶中或使用宣告政策來設定。您可使用宣告式政策同時在多個區域及多個帳戶套用設定。使用宣告式政策時,您無法直接在帳戶中修改設定。本主題說明如何直接在帳戶內配置設定。如需使用宣告式政策的相關資訊,請參閱「AWS Organizations 使用者指南」**中的[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)。 + 快照的封鎖公開存取功能並不會禁止公開共用 EBS 支援的 AMI。如果您啟用快照的封鎖公開存取功能,使用者仍可公開共用 EBS 支援的 AMI。如果 EBS 支援的 AMI 已公開共用,則擁有該 AMI 存取權的使用者可以從其相關聯快照建立磁碟區。若要防止公開共用您的 AMIs,請啟用 *[ AMIs的封鎖公開存取](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-intro.html#block-public-access-to-amis)*。 + 本機快照不支援封鎖快照的公開存取 AWS Outposts。 **定價** 啟用快照的封鎖公開存取功能無需額外付費。 **Contents** + [IAM 許可](block-public-access-snapshots-perms.md) + [設定封鎖公開存取](block-public-access-snapshots-enable.md) + [檢視封鎖公開存取設定](block-public-access-snapshots-view.md) + [停用封鎖公有存取權](block-public-access-snapshots-disable.md) + [監控封鎖公開存取](block-public-access-snapshots-events.md) # 封鎖 Amazon EBS 快照公開存取的 IAM 許可 預設情況下,使用者沒有使用快照封鎖公開存取功能的許可。若要允許使用者使用快照的鎖定公開存取功能,必須建立 IAM 政策以授予使用特定 API 動作的許可。建立政策之後,必須將許可新增至許使用者、群組或角色。 若要使用快照的封鎖公開存取功能,使用者需有下列許可。 + `ec2:EnableSnapshotBlockPublicAccess`:啟用快照的封鎖公開存取功能及並修改模式。 + `ec2:DisableSnapshotBlockPublicAccess`:停用快照的封鎖公開存取功能。 + `ec2:GetSnapshotBlockPublicAccessState`:檢視特定區域的快照封鎖公開存取設定。 IAM 政策範例如下。若無需某些許可,則您可從政策中將其移除。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:EnableSnapshotBlockPublicAccess", "ec2:DisableSnapshotBlockPublicAccess", "ec2:GetSnapshotBlockPublicAccessState" ], "Resource": "*" }] } ``` ------ 若要提供存取權,請新增權限至您的使用者、群組或角色: + 中的使用者和群組 AWS IAM Identity Center: 建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。 + 透過身分提供者在 IAM 中管理的使用者: 建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。 + IAM 使用者: + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。 + (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。 # 設定 Amazon EBS 快照的封鎖公開存取 啟用快照的公開存取功能,以禁止公開共用特定區域中的快照。啟用此功能後,會封鎖指定區域中公開共用快照的請求。 **重要** 在封鎖*所有共用*模式中啟用快照的封鎖公開存取,並不會變更已公開共用之快照的許可。而是會禁止這些快照公開顯示和公開存取。因此,雖然這些快照實際上不開放公開使用,但其屬性仍顯示為公開共用。 如果您稍後停用封鎖公開存取或變更模式以*封鎖新的共用*,這些快照將再次公開可用。 **注意** 此設定是在帳戶層級配置,可直接在帳戶中設定,或使用宣告式政策設定。它必須在您想要防止公開共用快照的每個 AWS 區域 中設定。您可使用宣告式政策同時在多個區域及多個帳戶套用設定。使用宣告式政策時,您無法直接在帳戶中修改設定。本主題說明如何直接在帳戶內配置設定。如需使用宣告式政策的相關資訊,請參閱「AWS Organizations 使用者指南」**中的[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)。 ------ #### [ Console ] **設定快照的封鎖公開存取功能** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **EC2 儀表板**,然後在**帳戶屬性** (右側) 中選擇**資料保護和安全性**。 1. 在 **EBS 快照的封鎖公開存取**區段中,選擇**管理**。 1. 選取**封鎖公開存取**,然後選擇下列其中一個選項: + **封鎖所有公開存取**:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。 + **封鎖新公開共用**:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。 1. 選擇**更新**。 ------ #### [ AWS CLI ] **啟用或修改快照的封鎖公開存取設定** 使用 [enable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-snapshot-block-public-access.html) 命令。為 `--state` 指定下列其中一個值: + `block-all-sharing`:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。 + `block-new-sharing`:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。 **針對特定區域啟用或修改快照的封鎖公開存取** ``` aws ec2 enable-snapshot-block-public-access \ --state block-new-sharing \ --region us-east-1 ``` 以下為範例輸出。 ``` { "State": "block-new-sharing" } ``` **啟用或修改所有區域的快照封鎖公開存取** ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 enable-snapshot-block-public-access \ --region $region \ --state block-new-sharing \ --output text) echo -e "$region \t $output" ); done ``` 以下為範例輸出。 ``` Region Public Access State -------------- ---------------------- ap-south-1 block-new-sharing eu-north-1 block-new-sharing eu-west-3 block-new-sharing ... ``` ------ #### [ PowerShell ] **啟用或修改快照的封鎖公開存取設定** 使用 [ Enable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SnapshotBlockPublicAccess.html) 命令。為 `-State` 指定下列其中一個值: + `block-all-sharing`:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。 + `block-new-sharing`:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。 **針對特定區域啟用或修改快照的封鎖公開存取** ``` Enable-EC2SnapshotBlockPublicAccess ` -Region us-east-1 ` -State block-new-sharing ``` 以下為範例輸出。 ``` Value ----- block-new-sharing ``` **啟用或修改所有區域的快照封鎖公開存取** ``` (Get-EC2Region -Region us-east-1).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = ( Enable-EC2SnapshotBlockPublicAccess ` -Region $_ ` -State block-new-sharing) } } | Format-Table -AutoSize ``` 以下為範例輸出。 ``` Region PublicAccessState ------ ----------------- ap-south-1 block-new-sharing eu-north-1 block-new-sharing eu-west-3 block-new-sharing ... ``` ------ # 檢視 Amazon EBS 快照的封鎖公開存取設定 針對帳戶中的每個區域,封鎖公開存取設定可能處於下列其中一個狀態。 + **封鎖所有共用**:快照的所有公開共用都會遭到封鎖。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不開放公開使用。 + **封鎖新共用**:只有快照的新公開共用會遭到封鎖。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。 + **解除封鎖**:不會封鎖公開共用。使用者可以公開共用快照。 ------ #### [ Console ] **檢視快照的封鎖公開存取設定** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **EC2 儀表板**,然後在**帳戶屬性** (右側) 中選擇**資料保護和安全性**。 1. **EBS 快照的封鎖公開存取**區段會顯示目前的設定。 ------ #### [ AWS CLI ] **檢視快照的封鎖公開存取設定** 使用 [get-snapshot-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-snapshot-block-public-access-state.html) 命令。 + 對於特定區域 ``` aws ec2 get-snapshot-block-public-access-state ``` 在此範例輸出中, `ManagedBy` 欄位指出設定 設定的實體,並`account`指出直接在帳戶中設定 設定。值為 `declarative-policy` 表示設定是透過宣告式政策來配置。如需詳細資訊,請參閱「AWS Organizations 使用者指南」**中的[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)。 ``` { "State": "unblocked", "ManagedBy": "account" } ``` + 對於所有區域 ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 get-snapshot-block-public-access-state \ --region $region \ --output text) echo -e "$region \t $output" ); done ``` 以下為範例輸出。 ``` Region Public Access State -------------- ---------------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ``` ------ #### [ PowerShell ] **檢視快照的封鎖公開存取設定** 使用 [ Get-EC2SnapshotBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotBlockPublicAccessState.html) cmdlet。 + 對於特定區域 ``` Get-EC2SnapshotBlockPublicAccessState -Region us-east-1 ``` 以下為範例輸出。 ``` Value ----- block-new-sharing ``` + 對於所有區域 ``` (Get-EC2Region -Region us-east-1).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = (Get-EC2SnapshotBlockPublicAccessState -Region $_) } } | Format-Table -AutoSize ``` 以下為範例輸出。 ``` Region Public Access State -------------- ---------------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ... ``` ------ # 停用 Amazon EBS 快照的封鎖公開存取 停用快照的封鎖公開存取功能,以允許公開共用特定區域中的快照。停用此功能後,使用者可以公開共用指定區域中的快照。 **重要** 在封鎖*所有共用*模式中啟用快照的封鎖公開存取,並不會變更已公開共用之快照的許可。而是會禁止這些快照公開顯示和公開存取。因此,雖然這些快照實際上不開放公開使用,但其屬性仍顯示為公開共用。 如果停用封鎖公開存取,這些快照將再次公開可用。 **注意** 此設定是在帳戶層級配置,可直接在帳戶中設定,或使用宣告式政策設定。它必須在您要允許公開共用快照的每個 AWS 區域 中設定。您可使用宣告式政策同時在多個區域及多個帳戶套用設定。使用宣告式政策時,您無法直接在帳戶中修改設定。本主題說明如何直接在帳戶內配置設定。如需使用宣告式政策的相關資訊,請參閱「AWS Organizations 使用者指南」**中的[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)。 ------ #### [ Console ] **停用快照的封鎖公開存取** 1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **EC2 儀表板**,然後在**帳戶屬性** (右側) 中選擇**資料保護和安全性**。 1. 在 **EBS 快照的封鎖公開存取**區段中,選擇**管理**。 1. 清除**封鎖公開存取**,然後選擇**儲存**。 ------ #### [ AWS CLI ] **停用快照的封鎖公開存取功能** 使用 [disable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-snapshot-block-public-access.html) 命令。 + 對於特定區域 ``` aws ec2 disable-snapshot-block-public-access --region us-east-1 ``` 以下為範例輸出。 ``` { "State": "unblocked" } ``` + 對於所有區域 ``` echo -e "Region \t Public Access State" ; \ echo -e "-------------- \t ----------------------" ; \ for region in $( aws ec2 describe-regions \ --region us-east-1 \ --query "Regions[*].[RegionName]" \ --output text ); do (output=$( aws ec2 disable-snapshot-block-public-access \ --region $region \ --output text) echo -e "$region \t $output" ); done ``` 以下為範例輸出。 ``` Region Public Access State -------------- ---------------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ``` ------ #### [ PowerShell ] **停用快照的封鎖公開存取** 使用 [ Disable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2SnapshotBlockPublicAccess.html) cmdlet。 + 對於特定區域 ``` Disable-EC2SnapshotBlockPublicAccess -Region us-east-1 ``` 以下為範例輸出。 ``` Value ----- unblocked ``` + 對於所有區域 ``` (Get-EC2Region -Region us-east-1).RegionName | ` ForEach-Object { [PSCustomObject]@{ Region = $_ PublicAccessState = (Disable-EC2SnapshotBlockPublicAccess -Region $_) } } | ` Format-Table -AutoSize ``` 以下為範例輸出。 ``` Region PublicAccessState ------ ----------------- ap-south-1 unblocked eu-north-1 unblocked eu-west-3 unblocked ... ``` ------ # 使用 EventBridge 監控 Amazon EBS 快照的封鎖公開存取 Amazon EBS 會發出與快照的封鎖公開存取相關的事件。您可以使用 AWS Lambda 和 Amazon EventBridge,透過程式設計方式來處理事件通知。盡可能發出事件。如需詳細資訊,請參閱[「Amazon EventBridge 使用者指南」](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。 系統會發出下列事件: + 以封鎖所有共用模式啟用快照的封鎖公開存取功能 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Block Public Access Enabled", "source": "aws.ec2", "account": "123456789012", "time": "2019-05-31T21:49:54Z", "region": "us-east-1", "detail": { "SnapshotBlockPublicAccessState": "block-all-sharing", "message": "Block Public Access was successfully enabled in 'block-all-sharing' mode" } } ``` + 以封鎖新共用模式啟用快照的封鎖公開存取功能 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Block Public Access Enabled", "source": "aws.ec2", "account": "123456789012", "time": "2019-05-31T21:49:54Z", "region": "us-east-1", "detail": { "SnapshotBlockPublicAccessState": "block-new-sharing", "message": "Block Public Access was successfully enabled in 'block-new-sharing' mode" } } ``` + 停用快照的封鎖公開存取功能 ``` { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "EBS Snapshot Block Public Access Disabled", "source": "aws.ec2", "account": "123456789012", "time": "2019-05-31T21:49:54Z", "region": "us-east-1", "detail": { "SnapshotBlockPublicAccessState": "unblocked", "message": "Block Public Access was successfully disabled" } } ``` # Amazon EBS local snapshots on Outposts Amazon EBS 快照是 EBS 磁碟區的時間點複本。 根據預設, 上的 EBS 磁碟區的快照AWS Outpost會存放在 區域的 Amazon S3 中Outpost。您也可以在 Outposts 上使用 Amazon EBS 本機快照,在Outpost本機的 Amazon S3 上Outpost儲存磁碟區的快照。這可確保快照資料位於 Outpost和您的內部部署。此外,您可以使用 AWS Identity and Access Management (IAM) 政策和許可來設定資料駐留強制執行政策,以確保快照資料不會離開 Outpost。如果您所在的國家或地區尚未由 區域提供服務, AWS 且具有資料落地要求,則此功能特別有用。 本主題提供使用 Outposts 上的 Amazon EBS 本機快照 的相關資訊。如需 Amazon EBS 快照和在 AWS 區域中使用快照的詳細資訊,請參閱 [Amazon EBS 快照](ebs-snapshots.md)。 如需詳細資訊,請參閱 [AWS Outposts 系列](https://aws.amazon.com/outposts/)和 [AWS Outposts 系列文件](https://docs.aws.amazon.com/outposts/)。 **Topics** + [常見問答集](#faq) + [先決條件](#prereqs) + [考量事項](#considerations) + [控制 IAM 的存取](#iam) + [使用 本機快照](#using) ## 常見問答集 **1. 什麼是 本機快照?** 根據預設, 上的磁碟區的 Amazon EBS 快照Outpost會存放在 區域的 Amazon S3 中Outpost。如果使用 S3 on Outposts Outpost佈建 ,您可以選擇將快照存放在本機Outpost本身。本機快照為增量改進,這表示僅儲存最近快照之後變更的磁碟區區塊。您可以使用這些快照,隨時在與快照Outpost相同的 上還原磁碟區。如需 Amazon EBS 快照的詳細資訊,請參閱 [Amazon EBS 快照](ebs-snapshots.md)。 **2. 為什麼要使用 本機快照?** 快照是備份資料的便利方式。使用本機快照時,所有快照資料都會儲存在本機的 上Outpost。這意味著它不會離開您的內部部署。如果您所在的國家或地區尚未由 區域提供服務, AWS 且具有居留要求,則此功能特別有用。 此外,使用本機快照有助於減少區域與頻寬限制環境中 之間通訊所用的Outpost頻寬。 **3. 如何在 上強制執行快照資料駐留Outpost?** 您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在使用本機快照時擁有的許可,以及強制執行資料駐留。您可以建立政策,防止主體從Outpost磁碟區和執行個體建立快照,並將快照存放在 AWS 區域中。目前不支援將快照和映像從 複製到 Outpost 區域。如需詳細資訊,請參閱[控制 IAM 的存取](#iam)。 **4. 是否支援多磁碟區、當機一致性的 本機快照?** 是,您可以從 上的執行個體建立多磁碟區、損毀一致的本機快照Outpost。 **5. 如何建立 本機快照?** 您可以使用 AWS Command Line Interface (AWS CLI) 或 Amazon EC2 主控台手動建立快照。如需詳細資訊,請參閱 [使用 本機快照](#using)。您也可以自動化使用 Amazon Data Lifecycle Manager 的 本機快照 生命週期。如需詳細資訊,請參閱 [在 上自動化快照 Outpost](#dlm)。 **6. 如果我Outpost失去與其區域的連線,是否可以建立、使用或刪除本機快照?** 否。 Outpost必須與 區域保持連線,因為 區域提供對快照運作狀態至關重要的存取、授權、記錄和監控服務。如果沒有連線,則無法建立新的 本機快照、建立磁碟區或從現 本機快照 有執行個體啟動或刪除 本機快照。 **7. Amazon S3 儲存容量在刪除 本機快照 後可用的速度有多快?** Amazon S3 儲存容量在刪除本機快照及參考這些容量的磁碟區後的 72 小時內即可使用。 **8. 如何確保我的 Amazon S3 容量不會用盡Outpost?** 建議您使用 Amazon CloudWatch 警示來監控 Amazon S3 儲存容量,並刪除不再需要的快照和磁碟區,以避免儲存容量不足。如果您使用 Amazon Data Lifecycle Manager 自動化本機快照的生命週期,請確保快照保留政策不會保留快照超過所需的時間。 **9. 如果我在 上的本機 Amazon S3 容量用盡,會發生什麼情況Outpost?** 如果您在 上的本機 Amazon S3 容量用盡Outpost,Amazon Data Lifecycle Manager 將無法在 上成功建立本機快照Outpost。Amazon Data Lifecycle Manager 會嘗試在 上建立本機快照Outpost,但快照會立即轉換為 `error` 狀態,最終由 Amazon Data Lifecycle Manager 刪除。建議您使用 `SnapshotsCreateFailed` Amazon CloudWatch 指標,監控快照生命週期政策,以防快照建立失敗。如需詳細資訊,請參閱 [使用 CloudWatch 監控資料生命週期管理員政策](monitor-dlm-cw-metrics.md)。 **10. 我可以利用 本機快照 和 本機快照 支援的 AMI 來使用 Spot 執行個體和 Spot 叢集嗎?** 否,您無法使用 本機快照 或 本機快照 支援的 AMI 來啟動 Spot 執行個體或 Spot 叢集。 **11. 我可以利用 本機快照 與 本機快照 支援的 AMI 來使用 Amazon EC2 Auto Scaling 嗎?** 可以,您可以使用本機快照和本機快照支援的 AMIs,在Outpost與快照相同的子網路中啟動 Auto Scaling 群組。Amazon EC2 Auto Scaling 群組服務連結角色必須具有使用用來加密快照的 KMS 金鑰的許可。 您無法使用本機快照或本機快照支援的 AMIs,在 AWS 區域中啟動 Auto Scaling 群組。 ## 先決條件 若要將快照存放在 上Outpost,您必須具有使用 S3 on Outposts Outpost佈建的 。如需 S3 on Outposts 的詳細資訊,請參閱《Amazon [S3 on Outposts](https://docs.aws.amazon.com/AmazonS3/latest/s3-outposts/S3onOutposts.html) 使用者指南》中的 S3 on Outposts。 *Amazon S3 * ## 考量事項 使用本機快照時請記住下列事項。 + Outpost 必須有與其 AWS 區域的連線,才能使用本機快照。 + 快照中繼資料會存放在與 相關聯的 AWS 區域中Outpost。這不包括任何快照資料。 + 儲存在 上的快照預設Outpost會加密。不支援未加密的快照。在 上建立的快照,Outpost以及複製到 的快照Outpost,會使用區域的預設 KMS 金鑰或您在請求時指定的不同 KMS 金鑰進行加密。 + 當您Outpost從本機快照在 上建立磁碟區時,無法使用不同的 KMS 金鑰重新加密磁碟區。從本機快照建立的磁碟區必須使用與來源快照相同的 KMS 金鑰加密。 + 從 刪除本機快照後Outpost,已刪除快照所使用的 Amazon S3 儲存容量會在 72 小時內變成可用。如需詳細資訊,請參閱[刪除 本機快照](#delete-snapshots)。 + 您無法從 匯出本機快照Outpost。 + 您無法啟用 本機快照 的快速快照還原。 + EBS 直接 API 不支援 本機快照。 + 您無法將本機快照或 AMIs 從 Outpost 複製到 AWS 區域、從一個Outpost區域複製到另一個區域,或在 內複製Outpost。不過,您可以將快照從 AWS 區域複製到 Outpost。如需詳細資訊,請參閱[將快照從 AWS 區域複製到 Outpost](#copy-snapshots)。 + 將快照從 AWS 區域複製到 時Outpost,資料會透過服務連結傳輸。同時複製多個快照可能會影響在 上執行的其他 服務Outpost。 + 您不能共享 本機快照。 + 您必須使用 IAM 政策來確保符合您的資料駐留需求。如需詳細資訊,請參閱 [控制 IAM 的存取](#iam)。 + 本機快照 是增量備份。僅儲存最近快照後,磁碟區中已變更的區塊。每一個 本機快照 均包含將 (快照取得時的) 資料還原至新的 EBS 磁碟區所需的所有資訊。如需詳細資訊,請參閱 [Amazon EBS 快照的運作方式](how_snapshots_work.md)。 + 您無法使用 IAM 政策來強制執行 **CopySnapshot** 及 **CopyImage** 動作的資料駐留。 ## 控制 IAM 的存取 您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在使用本機快照時擁有的許可。以下是您可以用來授與或拒絕執行 本機快照 特定動作的權限的範例政策。 **重要** 目前不支援將快照和映像從 Outpost複製到 區域。因此,您目前無法使用 IAM 政策來強制執行 **CopySnapshot** 和 **CopyImage** 動作的資料駐留。 **Topics** + [強制執行快照的資料駐留](#enforce-residency-snapshot) + [防止主體刪除 本機快照](#deny-delete) ### 強制執行快照的資料駐留 下列範例政策可防止所有主體從 上的磁碟區和執行個體建立快照,Outpost`arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef`並將快照資料儲存在 AWS 區域中。主體仍然可以建立 本機快照。此政策可確保所有快照都保留在 上Outpost。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots" ], "Resource": "arn:aws:ec2:us-east-1::snapshot/*", "Condition": { "StringEquals": { "ec2:SourceOutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0" }, "Null": { "ec2:OutpostArn": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots" ], "Resource": "*" } ] } ``` ------ ### 防止主體刪除 本機快照 下列範例政策可防止所有主體刪除存放在 Outpost 上的本機快照`arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0`。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DeleteSnapshot" ], "Resource": "arn:aws:ec2:us-east-1::snapshot/*", "Condition": { "StringEquals": { "ec2:OutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot" ], "Resource": "*" } ] } ``` ------ ## 使用 本機快照 以下各節說明如何使用 本機快照。 **Topics** + [儲存快照的規則](#lineage) + [從 上的磁碟區建立本機快照 Outpost](#create-snapshot) + [從 本機快照 中建立 AMI](#ami) + [將快照從 AWS 區域複製到 Outpost](#copy-snapshots) + [將 AMIs 從 AWS 區域複製到 Outpost](#copy-amis) + [從 本機快照 建立磁碟區](#volumes) + [受 本機快照 支援的 AMI 啟動執行個體](#instances) + [刪除 本機快照](#delete-snapshots) + [在 上自動化快照 Outpost](#dlm) ### 儲存快照的規則 下列規則適用於快照儲存區: + 如果磁碟區的最新快照存放在 上Outpost,則所有連續快照都必須存放在相同的 上Outpost。 + 如果磁碟區的最新快照存放在 AWS 區域中,則所有連續快照都必須存放在相同的區域中。若要從該磁碟區開始建立 本機快照,請執行下列動作: 1. 在 AWS 區域中建立磁碟區的快照。 1. Outpost 從 AWS 區域將快照複製到 。 1. 從 本機快照 建立新磁碟區。 1. 將磁碟區連接至 上的執行個體Outpost。 對於 上的新磁碟區Outpost,下一個快照可以存放在 Outpost或 AWS 區域中。所有後續快照都必須儲存在相同的位置。 + 本機快照,包括在 上建立的快照,Outpost以及Outpost從 AWS 區域複製到 的快照,只能用來在相同的 上建立磁碟區Outpost。 + 如果您Outpost從區域中的快照在 上建立磁碟區,則該新磁碟區的所有連續快照都必須位於相同區域。 + 如果您Outpost從本機快照在 上建立磁碟區,則該新磁碟區的所有連續快照都必須位於相同的 上Outpost。 ### 從 上的磁碟區建立本機快照 Outpost 您可以從 上的磁碟區建立本機快照Outpost。您可以選擇將快照存放在與來源磁碟區Outpost相同的 上,或在 的 區域中Outpost。 本機快照只能用於在相同的 上建立磁碟區Outpost。 如需詳細資訊,請參閱[建立 Amazon EBS 快照](ebs-creating-snapshot.md) ### 從 本機快照 中建立 AMI 您可以使用儲存在 區域的本機快照和快照組合來建立 Amazon Machine Image (AMIs)Outpost。例如,如果您在 Outpost中有 `us-east-1`,您可以建立 AMI,其中包含由該 上的本機快照支援的 資料磁碟區Outpost,以及由 `us-east-1`區域中快照支援的根磁碟區。 **注意** 您無法建立包含跨多個 存放之備份快照AMIsOutposts。 您目前無法使用 Outpost **CreateImage** API 或 的 Amazon EC2 主控台,直接從 上的執行個體建立 AMIsOutpost。 由本機快照支援的 AMIs 只能用於在相同的 上啟動執行個體Outpost。 **從區域中的Outpost快照在 上建立 AMI** 1. 將快照從 區域複製到 Outpost。如需詳細資訊,請參閱[將快照從 AWS 區域複製到 Outpost](#copy-snapshots)。 1. 使用 Amazon EC2 主控台或 [ register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) 命令,在 上使用快照副本來建立 AMIOutpost。如需詳細資訊,請參閱 [Creating an AMI from a snapshot (從快照建立 AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。 **從 上的Outpost執行個體在 上建立 AMI Outpost** 1. 從 上的執行個體建立快照,Outpost並將快照存放在 上Outpost。如需詳細資訊,請參閱[建立 Amazon EBS 快照](ebs-creating-snapshot.md)。 1. 使用 Amazon EC2 主控台或 [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) 指令來使用 本機快照 建立 AMI。如需詳細資訊,請參閱 [Creating an AMI from a snapshot (從快照建立 AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。 **從 上的執行個體在區域中建立 AMI Outpost** 1. 從 上的執行個體建立快照,Outpost並將快照存放在 區域中。如需詳細資訊,請參閱[從 上的磁碟區建立本機快照 Outpost](#create-snapshot)或[建立 Amazon EBS 快照](ebs-creating-snapshot.md)。 1. 使用 Amazon EC2 主控台或 [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) 指令,使用區域中的快照複本建立 AMI。如需詳細資訊,請參閱 [Creating an AMI from a snapshot (從快照建立 AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。 ### 將快照從 AWS 區域複製到 Outpost 您可以將快照從 AWS 區域複製到 Outpost。只有當快照位於 的 區域時,您才能執行此操作Outpost。如果快照位於不同的區域,您必須先將快照複製到 的 區域Outpost,然後將其從該區域複製到 Outpost。 **注意** 您無法將本機快照從 Outpost 複製到 區域、從一個Outpost區域複製到另一個區域,或在相同的 內複製本機快照Outpost。 如需詳細資訊,請參閱[複製 Amazon EBS 快照](ebs-copy-snapshot.md)。 ### 將 AMIs 從 AWS 區域複製到 Outpost 您可以將 AMIs 從 AWS 區域複製到 Outpost。當您將 AMI 從 區域複製到 時Outpost,所有與 AMI 相關聯的快照都會從 區域複製到 Outpost。 Outpost 只有在與 AMI 相關聯的快照位於 的 區域中時,才能將 AMI 從 區域複製到 Outpost。如果快照位於不同的區域,您必須先將 AMI 複製到 的 區域Outpost,然後將其從該區域複製到 Outpost。 **注意** 您無法將 AMI 從 複製到 Outpost 區域、從一個Outpost區域複製到另一個區域,或在 內複製 AMIOutpost。 您只能Outpost使用 [ copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html) AWS CLI 命令,將 AMIs 從區域複製到 。 ### 從 本機快照 建立磁碟區 您可以從Outpost本機快照在 上建立磁碟區。磁碟區必須在Outpost與來源快照相同的 上建立。您無法使用本機快照在 區域中為 建立磁碟區Outpost。 當您從 本機快照 建立磁碟區時,您無法使用不同的 KMS 金鑰 重新加密磁碟區。從本機快照建立的磁碟區必須使用與來源快照相同的 KMS 金鑰加密。 如需詳細資訊,請參閱[建立 Amazon EBS 磁碟區](ebs-creating-volume.md)。 ### 受 本機快照 支援的 AMI 啟動執行個體 您可以從受 本機快照 支援的 AMI 啟動執行個體。您必須在Outpost與來源 AMI 相同的 上啟動執行個體。如需詳細資訊,請參閱*AWS Outposts 《 使用者指南*》中的[在 上啟動執行個體Outpost](https://docs.aws.amazon.com/outposts/latest/userguide/launch-instance.html)。 ### 刪除 本機快照 您可以從 刪除本機快照Outpost。從 刪除快照後Outpost,已刪除快照所使用的 Amazon S3 儲存容量會在刪除快照和參考該快照的磁碟區後 72 小時內變成可用。 由於 Amazon S3 儲存容量不會立即可用,因此建議您使用 Amazon CloudWatch 警示來監控 Amazon S3 儲存容量。刪除不再需要的快照和磁碟區,以避免儲存容量不足。 如需升級快照的詳細資訊,請參閱 [刪除快照](ebs-deleting-snapshot.md#ebs-delete-snapshot)。 ### 在 上自動化快照 Outpost 您可以建立 Amazon Data Lifecycle Manager 快照生命週期政策,在 上自動建立、複製、保留和刪除磁碟區和執行個體的快照Outpost。您可以選擇是否要將快照存放在 區域中,還是將快照存放在 本機Outpost。此外,您可以自動將在 區域中建立和存放的快照複製到 AWS Outpost。 下表提供支援功能的概觀。 | | | 資源位置 | 快照目的地 | 跨區域複製 | 快速快照還原 | 跨帳戶共享 | | --- |--- |--- |--- |--- | | 前往區域 | 至 Outpost | | --- |--- | | Region | Region | ✓ | ✓ | ✓ | ✓ | | Outpost | Region | ✓ | ✓ | ✓ | ✓ | | Outpost | Outpost | ✗ | ✗ | ✗ | ✗ | **考量事項** + 目前僅支援 Amazon EBS 快照生命週期政策。不支援 EBS 支援的 AMI 政策和跨帳戶共享活動政策。 + 如果政策管理區域中磁碟區或執行個體的快照,則會在與來源資源相同的區域中建立快照。 + 如果政策管理 上磁碟區或執行個體的快照Outpost,則可以在來源 Outpost或該 的 區域中建立快照Outpost。 + 單一政策無法同時管理 區域中的快照和 上的快照Outpost。如果您需要在 區域和 上自動化快照Outpost,您必須建立個別的政策。 + 在 上建立的快照Outpost,或複製到 的快照,都不支援快速快照還原Outpost。 + 在 上建立的快照不支援跨帳戶共用Outpost。 如需有關建立管理快照生命週期的詳細資訊 本機快照,請參閱 [Automating snapshot lifecycles (自動化快照生命週期)](snapshot-ami-policy.md)。 # Local Zones 中的本機快照 Amazon EBS 快照是 EBS 磁碟區的時間點複本。 AWS 本機區域中 EBS 磁碟區的快照可以存放在相同本機區域的 Amazon S3 中,或存放在該本機區域的父區域中。將快照存放在本機區域,可確保快照資料在特定國家、州或市處理和儲存,以協助您滿足資料駐留需求。您也可以使用 IAM 設定資料駐留強制執行政策,以確保快照資料不會離開本機區域。 本機區域非常適合需要單一位數毫秒延遲或本機資料處理的應用程式,方法是讓 AWS 基礎設施更接近最終使用者和商業中心。此外,您可以滿足法規和合規敏感工作負載的資料駐留要求。如需詳細資訊,請參閱[什麼是 AWS Local Zones](https://docs.aws.amazon.com//local-zones/latest/ug/what-is-aws-local-zones.html)。 支援 Amazon S3 的 Local Zones 目前支援本機快照。如需詳細資訊,請參閱 [AWS Local Zones 功能。](https://aws.amazon.com/about-aws/global-infrastructure/localzones/features/) **Topics** + [常見問答集](#faq) + [考量事項](#considerations) + [控制 IAM 的存取](#local-snaps-iam) ## 常見問答集 **1. Local Zones 中的 Local 快照是什麼?** Local Zones 中的本機快照是存放在 Local Zone 中 Amazon S3 的快照。根據預設,本機區域中 Amazon EBS 磁碟區的快照會存放在父區域中的 Amazon S3 中。如果 Local Zone 支援 Amazon S3,您可以選擇將快照儲存在 Local Zone 本機。與 AWS 區域中的快照一樣,本機區域中的本機快照是增量的,這表示只會儲存最近快照之後變更的磁碟區區塊。您可以隨時使用這些快照來還原相同 Local Zone 中的 Amazon EBS 磁碟區。 **2. 為什麼我應該使用本機快照?** 透過確保您的快照資料位於特定國家/地區、州或市等特定地理位置,在 Local Zones 中使用本機快照來滿足資料駐留或資料隔離要求。 **3. 如何在 Local Zones 中強制執行快照資料駐留?** 您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在 Local Zones 中使用本機快照時所擁有的許可,並強制執行資料駐留。例如,您可以建立政策,防止使用者從本機區域中的磁碟區建立快照,並將這些快照儲存在 AWS 區域中。如需詳細資訊,請參閱[控制 IAM 的存取](#local-snaps-iam)。 **4. 是否支援多磁碟區、損毀一致的本機快照?** 是,您可以從本機區域中的執行個體,在本機區域中建立多磁碟區、損毀一致的本機快照。 **5. 如何在 Local Zones 中建立本機快照?** 您可以使用 AWS CLI 或 Amazon EC2 主控台,在 Local Zones 中手動建立本機快照。如需詳細資訊,請參閱 [建立 EBS 磁碟區的快照](ebs-create-snapshot.md)。您也可以使用 Amazon Data Lifecycle Manager 在 Local Zones 中自動化本機快照的生命週期。如需詳細資訊,請參閱 [建立 EBS 快照的 Amazon Data Lifecycle Manager 自訂政策](snapshot-ami-policy.md)。 **6. 我可以在 Local Zones 中複製本機快照嗎?** 可以,您可以將快照從某個區域複製到相同區域中的本機區域、從本機區域複製到其區域,以及從一個本機區域複製到相同本機區域群組中的另一個本機區域。 **7. 如何從 Local Zones 中的本機快照還原資料?** 您可以在 Local Zones 中使用本機快照,只在相同的 Local Zones 中建立 Amazon EBS 磁碟區。 **8. Local Zones 中的本機快照如何加密?** 根據預設,本機快照可以未加密或加密。根據預設加密時,本機快照會使用與來源 Amazon EBS 磁碟區相同的 AWS KMS 金鑰進行加密。當您從本機快照建立磁碟區時,無法使用不同的 KMS 金鑰重新加密磁碟區。從本機快照建立的磁碟區必須使用與來源快照相同的 AWS KMS 金鑰加密。 **9. 我可以在 Local Zones 中使用本機快照建立 EBS 支援的 AMIs 嗎?** 是,您可以在建立 EBS 後端 AMIs 時使用 Local Zones 中的本機快照,方法是將快照目的地指定為 Local Zones。如需詳細資訊,請參閱[建立 Amazon EBS 支援的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#creating-launching-ami-from-snapshot)。 **10. 我可以在 Local Zones 中共用本機快照嗎?** 可以,您可以將 Local Zones 中的本機快照分享給已啟用 Local Zone 供其 AWS 帳戶使用的其他帳戶。 **11. 我可以建立磁碟區的本機快照,然後切換到在父區域中建立快照嗎?** 否,建立磁碟區的本機快照後,您無法在父區域中建立該磁碟區的連續快照。由於所有快照都是增量的,如果磁碟區的最近快照是本機快照,則該磁碟區的所有連續快照都必須是本機快照。 ## 考量事項 在 Local Zones 中使用本機快照時,請注意下列事項。 + 支援 Amazon S3 的 Local Zones 目前支援本機快照。 + 下列功能無法與 Local Zones 中的本機快照搭配使用: + VM Import/Export 動作 + 快速快照還原 + EBS 直接 API + 資源回收筒 + 快照封存 + 您必須使用 IAM 政策來強制執行資料落地要求。如需詳細資訊,請參閱[控制 IAM 的存取](#local-snaps-iam)。 + 如果磁碟區的最新快照是本機快照,則所有後續快照都必須是本機快照。同樣地,如果磁碟區的最新快照存放在 AWS 區域中,則所有後續快照都必須存放在相同的區域中。 ## 控制 IAM 的存取 您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在本機區域中使用本機快照時所擁有的許可。以下是範例政策,您可以用來授予或拒絕在 Local Zones 中使用本機快照執行特定動作的許可。 **Topics** + [在 Local Zones 中強制執行本機快照的資料駐留](#dlz-enforce-residency-snapshot) + [防止在 Local Zones 中共用本機快照](#dlz-deny-sharing) + [防止主體刪除本機區域中的本機快照](#dlz-deny-delete) ### 在 Local Zones 中強制執行本機快照的資料駐留 下列範例政策限制使用者只能從本機區域中的磁碟區和執行個體,在本機區域中建立本機快照。它可防止使用者從本機區域中的磁碟區和執行個體建立區域中的快照。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:Location": "regional", "ec2:SourceAvailabilityZone": "local_zone" } } }, { "Effect": "Deny", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:SourceAvailabilityZone": "local_zone" }, "Null": { "ec2:Location": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots" ], "Resource": "*" } ] } ``` ------ ### 防止在 Local Zones 中共用本機快照 下列範例政策可防止所有使用者在 Local Zones 中共用本機快照。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenySnapshotModifyInLocalZone", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:AvailabilityZone": "use1-atl2-az1" } } }, { "Sid": "AllowSnapshotModifyElsewhere", "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*" } ] } ``` ------ ### 防止主體刪除本機區域中的本機快照 下列範例政策可防止所有使用者刪除 Local Zones 中的本機快照。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenySnapshotDeleteInLocalZone", "Effect": "Deny", "Action": [ "ec2:DeleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:AvailabilityZone": "use1-atl2-az1" } } }, { "Sid": "AllowSnapshotDeleteElsewhere", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*" } ] } ``` ------